CVE-2021-40366

Опубликовано: 09 нояб. 2021

Источник: nvd

CVSS3: 7.4

CVSS2: 5.8

EPSS Низкий

Описание

A vulnerability has been identified in Climatix POL909 (AWB module) (All versions < V11.42), Climatix POL909 (AWM module) (All versions < V11.34). The web server of affected devices transmits data without TLS encryption. This could allow an unauthenticated remote attacker in a man-in-the-middle position to read sensitive data, such as administrator credentials, or modify data in transit.

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Vendor Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-703715.pdf
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:o:siemens:climatix_pol909_firmware:*:*:*:*:advanced_web_module:*:*:*

Версия до 11.34 (исключая)

cpe:2.3:o:siemens:climatix_pol909_firmware:*:*:*:*:advanced_web_and_bacnet_module:*:*:*

Версия до 11.42 (исключая)

cpe:2.3:h:siemens:climatix_pol909:-:*:*:*:*:*:*:*

EPSS

Процентиль: 22%

0.00073

Низкий

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-311

CWE-319

Связанные уязвимости

GHSA-49hc-75c3-5637