Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-24043

Опубликовано: 20 мая 2022
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4-18), Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The login functionality of the application fails to normalize the response times of login attempts performed with wrong usernames with the ones executed with correct usernames. A remote unauthenticated attacker could exploit this side-channel information to perform a username enumeration attack and identify valid usernames.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:desigo_dxr2_firmware:*:*:*:*:*:*:*:*
Версия до 01.21.142.5-22 (исключая)
cpe:2.3:h:siemens:desigo_dxr2:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:siemens:desigo_pxc3_firmware:*:*:*:*:*:*:*:*
Версия до 01.21.142.4-18 (исключая)
cpe:2.3:h:siemens:desigo_pxc3:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:siemens:desigo_pxc4_firmware:*:*:*:*:*:*:*:*
Версия до 02.20.142.10-10884 (исключая)
cpe:2.3:h:siemens:desigo_pxc4:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:siemens:desigo_pxc5_firmware:*:*:*:*:*:*:*:*
Версия до 02.20.142.10-10884 (исключая)
cpe:2.3:h:siemens:desigo_pxc5:-:*:*:*:*:*:*:*

EPSS

Процентиль: 71%
0.0067
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-203
CWE-203

Связанные уязвимости

github логотип

GHSA-r754-r2fw-63fg

CVSS3: 5.3
github
больше 3 лет назад

A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4-18), Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The login functionality of the application fails to normalize the response times of login attempts performed with wrong usernames with the ones executed with correct usernames. A remote unauthenticated attacker could exploit this side-channel information to perform a username enumeration attack and identify valid usernames.

fstec логотип

BDU:2022-03883

CVSS3: 5.3
fstec
больше 3 лет назад

Уязвимость микропрограммного обеспечения модулей станций автоматизации помещений Desigo DXR2, PXC3, PXC4 и PXC5, связанная с раскрытием информации через несоответствие, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 71%
0.0067
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-203
CWE-203