Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08150

Опубликовано: 10 окт. 2023
Источник: fstec
CVSS3: 8.3
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server связана с возможностью внедрения SNMP-конфигураций. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с привилегиями SYSTEM

Вендор

Siemens AG

Наименование ПО

SINEMA Server

Версия ПО

14 (SINEMA Server)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение сетевого доступа к SNMP-серверу;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- сегментирование сети для ограничения возможности удалённого доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/pdf/ssa-594373.pdf

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 45%
0.00229
Низкий

8.3 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-35796

CVSS3: 8.3
nvd
больше 2 лет назад

A vulnerability has been identified in SINEMA Server V14 (All versions). The affected application improperly sanitizes certain SNMP configuration data retrieved from monitored devices. An attacker with access to a monitored device could perform a stored cross-site scripting (XSS) attack that may lead to arbitrary code execution with `SYSTEM` privileges on the application server. (ZDI-CAN-19823)

github логотип

GHSA-8w38-353q-pxjf

CVSS3: 8.3
github
больше 2 лет назад

A vulnerability has been identified in SINEMA Server V14 (All versions). The affected application improperly sanitizes certain SNMP configuration data retrieved from monitored devices. An attacker with access to a monitored device could perform a stored cross-site scripting (XSS) attack that may lead to arbitrary code execution with `SYSTEM` privileges on the application server. (ZDI-CAN-19823)

EPSS

Процентиль: 45%
0.00229
Низкий

8.3 High

CVSS3

10 Critical

CVSS2