BDU:2019-02558

Опубликовано: 11 июн. 2019

Источник: fstec

CVSS3: 5.3

CVSS2: 2.6

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения системы промышленной идентификации и позиционирования Simatic Ident связана с отсутствием шифрования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к данным, передаваемым между устройством и пользователем

Вендор

Siemens AG

Наименование ПО

SIMATIC Ident MV420

SIMATIC Ident MV440

Версия ПО

- (SIMATIC Ident MV420)

- (SIMATIC Ident MV440)

Тип ПО

Программное средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:

Установка бит DISA для предотвращения внесения изменений в проект зарегистрированными пользователями

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-10926
CVE

EPSS

Процентиль: 57%

0.00355

Низкий

5.3 Medium

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

CVE-2019-10926

CVSS3: 5.3

nvd

больше 6 лет назад

A vulnerability has been identified in SIMATIC MV400 family (All Versions < V7.0.6). Communication with the device is not encrypted. Data transmitted between the device and the user can be obtained by an attacker in a privileged network position. The security vulnerability can be exploited by an attacker in a privileged network position which allows eavesdropping the communication between the affected device and the user. The user must invoke a session. Successful exploitation of the vulnerability compromises confidentiality of the data transmitted.

GHSA-c4c4-86rp-wv48

github

больше 3 лет назад

A vulnerability has been identified in SIMATIC Ident MV420 family (All versions), SIMATIC Ident MV440 family (All versions). Communication with the device is not encrypted. Data transmitted between the device and the user can be obtained by an attacker in a privileged network position. The security vulnerability can be exploited by an attacker in a privileged network position which allows evesdropping the communication between the affected device and the user. The user must invoke a session. Successful exploitation of the vulnerability compromises confidentiality of the data transmitted. At the time of advisory publication no public exploitation of this security vulnerability was known.