Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00120

Опубликовано: 13 нояб. 2018
Источник: fstec
CVSS3: 7.7
CVSS2: 7.3
EPSS Низкий

Описание

Уязвимость в программном обеспечении Simatic IT связана с недостатками механизмов аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти проверку подлинности на уровне приложений

Вендор

Siemens AG

Наименование ПО

Simatic IT LMS
Simatic IT Production Suite
Simatic IT UA Discrete Manufacturing

Версия ПО

- (Simatic IT LMS)
до V7.1 включительно (Simatic IT Production Suite)
до V1.2 включительно (Simatic IT UA Discrete Manufacturing)
V1.3 (Simatic IT UA Discrete Manufacturing)
V2.3 (Simatic IT UA Discrete Manufacturing)
V2.7 (Simatic IT UA Discrete Manufacturing)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению уязвимости

Для Simatic IT Production Suite:
Обновление до версии V7.1 Upd3 https://www.plm.automation.siemens.com/global/en/support/
Для Simatic IT UA Discrete Manufacturing V1.2, V1.3, V2.3, V2.4:
Обновление компонентов SIMATIC IT
Administrative Tools, SIMATIC IT Basic Service и SIMATIC IT Full Services до V7.1 Upd3
https://www.plm.automation.siemens.com/global/en/support/
Компенсирующие меры:
Ограничение доступа к сети для уязвимых установок.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03384
Низкий

7.7 High

CVSS3

7.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-13804

CVSS3: 8.1
nvd
около 7 лет назад

A vulnerability has been identified in SIMATIC IT LMS (All versions), SIMATIC IT Production Suite (Versions V7.1 < V7.1 Upd3), SIMATIC IT UA Discrete Manufacturing (Versions < V1.2), SIMATIC IT UA Discrete Manufacturing (Versions V1.2), SIMATIC IT UA Discrete Manufacturing (Versions V1.3), SIMATIC IT UA Discrete Manufacturing (Versions V2.3), SIMATIC IT UA Discrete Manufacturing (Versions V2.4). An attacker with network access to the installation could bypass the application-level authentication. In order to exploit the vulnerability, an attacker must obtain network access to an affected installation and must obtain a valid username to the system. Successful exploitation requires no user privileges and no user interaction. The vulnerability could allow an attacker to compromise confidentiality, integrity and availability of the system. At the time of advisory publication no public exploitation of this vulnerability was known.

github логотип

GHSA-hf5v-q9xg-wmjx

CVSS3: 8.1
github
больше 3 лет назад

A vulnerability has been identified in SIMATIC IT LMS (All versions), SIMATIC IT Production Suite (Versions V7.1 < V7.1 Upd3), SIMATIC IT UA Discrete Manufacturing (Versions < V1.2), SIMATIC IT UA Discrete Manufacturing (Versions V1.2), SIMATIC IT UA Discrete Manufacturing (Versions V1.3), SIMATIC IT UA Discrete Manufacturing (Versions V2.3), SIMATIC IT UA Discrete Manufacturing (Versions V2.4). An attacker with network access to the installation could bypass the application-level authentication. In order to exploit the vulnerability, an attacker must obtain network access to an affected installation and must obtain a valid username to the system. Successful exploitation requires no user privileges and no user interaction. The vulnerability could allow an attacker to compromise confidentiality, integrity and availability of the system. At the time of advisory publication no public exploitation of this vulnerability was known.

EPSS

Процентиль: 87%
0.03384
Низкий

7.7 High

CVSS3

7.3 High

CVSS2