CVE-2022-33138

Опубликовано: 12 июл. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

A vulnerability has been identified in SIMATIC MV540 H (All versions < V3.3), SIMATIC MV540 S (All versions < V3.3), SIMATIC MV550 H (All versions < V3.3), SIMATIC MV550 S (All versions < V3.3), SIMATIC MV560 U (All versions < V3.3), SIMATIC MV560 X (All versions < V3.3). Affected devices do not perform authentication for several web API endpoints. This could allow an unauthenticated remote attacker to read and download data from the device.

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-348662.pdf
Patch
Vendor Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-348662.pdf
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:simatic_mv540_h_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv540_h:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:siemens:simatic_mv540_s_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv540_s:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:siemens:simatic_mv550_h_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv550_h:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:siemens:simatic_mv550_s_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv550_s:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:siemens:simatic_mv560_u_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv560_u:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:siemens:simatic_mv560_x_firmware:*:*:*:*:*:*:*:*

Версия до 3.3 (исключая)

cpe:2.3:h:siemens:simatic_mv560_x:-:*:*:*:*:*:*:*

EPSS

Процентиль: 66%

0.00526

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-306

Связанные уязвимости

GHSA-c482-89c3-ccmp

CVSS3: 7.5

github

больше 3 лет назад

EPSS

Процентиль: 66%

0.00526

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-306