BDU:2022-02966

Опубликовано: 22 фев. 2022

Источник: fstec

CVSS3: 7.9

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения промышленных коммутаторов SCALANCE X302-7 EEC, SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2 EEC, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X308-2LD, SCALANCE X308-2LH, SCALANCE X308-2LH+, SCALANCE X308-2M, SCALANCE X308-2M PoE, SCALANCE X308-2M TS, SCALANCE X310, SCALANCE X310FE, SCALANCE X320-1 FE, SCALANCE X320-1-2LD FE, SCALANCE X408-2, SCALANCE XR324-4M EEC, SCALANCE XR324-4M PoE, SCALANCE XR324-12M, SCALANCE XR324-12M TS, SIPLUS NET SCALANCE X308-2 связана с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки с помощью специально созданной ссылки

Вендор

Siemens AG

Наименование ПО

SCALANCE X302-7 EEC

SCALANCE X304-2FE

SCALANCE X306-1LD FE

SCALANCE X307-2 EEC

SCALANCE X307-3

SCALANCE X307-3LD

SCALANCE X308-2

SCALANCE X308-2LD

SCALANCE X308-2LH

SCALANCE X308-2LH+

SCALANCE X308-2M

SCALANCE X308-2M PoE

SCALANCE X308-2M TS

SCALANCE X310

SCALANCE X310FE

SCALANCE X320-1 FE

SCALANCE X320-1-2LD FE

SCALANCE X408-2

SCALANCE XR324-4M EEC

SCALANCE XR324-4M PoE

SCALANCE XR324-12M

SCALANCE XR324-12M TS

SIPLUS NET SCALANCE X308-2

Версия ПО

до V4.1.4 (SCALANCE X302-7 EEC)

до V4.1.4 (SCALANCE X304-2FE)

до V4.1.4 (SCALANCE X306-1LD FE)

до V4.1.4 (SCALANCE X307-2 EEC)

до V4.1.4 (SCALANCE X307-3)

до V4.1.4 (SCALANCE X307-3LD)

до V4.1.4 (SCALANCE X308-2)

до V4.1.4 (SCALANCE X308-2LD)

до V4.1.4 (SCALANCE X308-2LH)

до V4.1.4 (SCALANCE X308-2LH+)

до V4.1.4 (SCALANCE X308-2M)

до V4.1.4 (SCALANCE X308-2M PoE)

до V4.1.4 (SCALANCE X308-2M TS)

до V4.1.4 (SCALANCE X310)

до V4.1.4 (SCALANCE X310FE)

до V4.1.4 (SCALANCE X320-1 FE)

до V4.1.4 (SCALANCE X320-1-2LD FE)

до V4.1.4 (SCALANCE X408-2)

до V4.1.4 (SCALANCE XR324-4M EEC)

до V4.1.4 (SCALANCE XR324-4M PoE)

до V4.1.4 (SCALANCE XR324-12M)

до V4.1.4 (SCALANCE XR324-12M TS)

до V4.1.4 (SIPLUS NET SCALANCE X308-2)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://cert-portal.siemens.com/productcert/pdf/ssa-836527.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-25756
CVE

EPSS

Процентиль: 65%

0.00495

Низкий

7.9 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-25756

CVSS3: 6.1

nvd

почти 4 года назад

A vulnerability has been identified in SCALANCE X302-7 EEC (230V), SCALANCE X302-7 EEC (230V, coated), SCALANCE X302-7 EEC (24V), SCALANCE X302-7 EEC (24V, coated), SCALANCE X302-7 EEC (2x 230V), SCALANCE X302-7 EEC (2x 230V, coated), SCALANCE X302-7 EEC (2x 24V), SCALANCE X302-7 EEC (2x 24V, coated), SCALANCE X304-2FE, SCALANCE X306-1LD FE, SCALANCE X307-2 EEC (230V), SCALANCE X307-2 EEC (230V, coated), SCALANCE X307-2 EEC (24V), SCALANCE X307-2 EEC (24V, coated), SCALANCE X307-2 EEC (2x 230V), SCALANCE X307-2 EEC (2x 230V, coated), SCALANCE X307-2 EEC (2x 24V), SCALANCE X307-2 EEC (2x 24V, coated), SCALANCE X307-3, SCALANCE X307-3, SCALANCE X307-3LD, SCALANCE X307-3LD, SCALANCE X308-2, SCALANCE X308-2, SCALANCE X308-2LD, SCALANCE X308-2LD, SCALANCE X308-2LH, SCALANCE X308-2LH, SCALANCE X308-2LH+, SCALANCE X308-2LH+, SCALANCE X308-2M, SCALANCE X308-2M, SCALANCE X308-2M PoE, SCALANCE X308-2M PoE, SCALANCE X308-2M TS, SCALANCE X308-2M TS, SCALANCE X310, SCALANCE X310, SCALANCE X310FE, S

GHSA-cc95-9xf2-723h