CVE-2022-33137

Опубликовано: 12 июл. 2022

Источник: nvd

CVSS3: 8

CVSS2: 6

EPSS Низкий

Описание

A vulnerability has been identified in SIMATIC MV540 H (All versions < V3.3), SIMATIC MV540 S (All versions < V3.3), SIMATIC MV550 H (All versions < V3.3), SIMATIC MV550 S (All versions < V3.3), SIMATIC MV560 U (All versions < V3.3), SIMATIC MV560 X (All versions < V3.3). The web session management of affected devices does not invalidate session ids in certain logout scenarios. This could allow an authenticated remote attacker to hijack other users' sessions.

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-348662.pdf
Patch
Vendor Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-348662.pdf
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:simatic_mv540_h_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv540_h:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:siemens:simatic_mv540_s_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv540_s:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:siemens:simatic_mv550_h_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv550_h:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:siemens:simatic_mv550_s_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv550_s:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:siemens:simatic_mv560_u_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv560_u:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:siemens:simatic_mv560_x_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv560_x:-:*:*:*:*:*:*:*

EPSS

Процентиль: 55%

0.00329

Низкий

8 High

CVSS3

6 Medium

CVSS2

Дефекты

CWE-613

Связанные уязвимости

GHSA-jp3h-x882-5crh

CVSS3: 8

github

больше 3 лет назад

EPSS

Процентиль: 55%

0.00329

Низкий

8 High

CVSS3

6 Medium

CVSS2

Дефекты

CWE-613