Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-24040

Опубликовано: 10 мая 2022
Источник: nvd
CVSS3: 6.5
CVSS2: 4
EPSS Низкий

Описание

A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4-18), Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The web application fails to enforce an upper bound to the cost factor of the PBKDF2 derived key during the creation or update of an account. An attacker with the user profile access privilege could cause a denial of service (DoS) condition through CPU consumption by setting a PBKDF2 derived key with a remarkably high cost effort and then attempting a login to the so-modified account.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:desigo_pxc5_firmware:*:*:*:*:*:*:*:*
Версия до 02.20.142.10-10884 (исключая)
cpe:2.3:h:siemens:desigo_pxc5:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:siemens:desigo_pxc4_firmware:*:*:*:*:*:*:*:*
Версия до 02.20.142.10-10884 (исключая)
cpe:2.3:h:siemens:desigo_pxc4:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:siemens:desigo_pxc3_firmware:*:*:*:*:*:*:*:*
Версия до 01.21.142.4-18 (исключая)
cpe:2.3:h:siemens:desigo_pxc3:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:siemens:desigo_dxr2_firmware:*:*:*:*:*:*:*:*
Версия до 01.21.142.5-22 (исключая)
cpe:2.3:h:siemens:desigo_dxr2:-:*:*:*:*:*:*:*

EPSS

Процентиль: 58%
0.00372
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-400
CWE-400

Связанные уязвимости

github логотип

GHSA-gvmv-rhmr-mw99

CVSS3: 6.5
github
больше 3 лет назад

A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4-18), Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The web application fails to enforce an upper bound to the cost factor of the PBKDF2 derived key during the creation or update of an account. An attacker with the user profile access privilege could cause a denial of service (DoS) condition through CPU consumption by setting a PBKDF2 derived key with a remarkably high cost effort and then attempting a login to the so-modified account.

fstec логотип

BDU:2022-04238

CVSS3: 6.5
fstec
больше 3 лет назад

Уязвимость микропрограммного обеспечения модулей станций автоматизации Desigo DXR2, PXC3, PXC4, PXC5, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 58%
0.00372
Низкий

6.5 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-400
CWE-400