Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-46353

Опубликовано: 13 дек. 2022
Источник: nvd
CVSS3: 9.8
EPSS Низкий

Описание

A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions < V3.2.7), SCALANCE X204RNA EEC (HSR) (All versions < V3.2.7), SCALANCE X204RNA EEC (PRP) (All versions < V3.2.7), SCALANCE X204RNA EEC (PRP/HSR) (All versions < V3.2.7). The webserver of affected devices calculates session ids and nonces in an insecure manner. This could allow an unauthenticated remote attacker to brute-force session ids and hijack existing sessions.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:siemens:6gk5204-0ba00-2mb2_firmware:*:*:*:*:*:*:*:*
Версия до 3.2.7 (исключая)
cpe:2.3:h:siemens:6gk5204-0ba00-2mb2:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:siemens:6gk5204-0ba00-2kb2_firmware:*:*:*:*:*:*:*:*
Версия до 3.2.7 (исключая)
cpe:2.3:h:siemens:6gk5204-0ba00-2kb2:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:siemens:6gk5204-0bs00-2na3_firmware:*:*:*:*:*:*:*:*
Версия до 3.2.7 (исключая)
cpe:2.3:h:siemens:6gk5204-0bs00-2na3:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:siemens:6gk5204-0bs00-3la3_firmware:*:*:*:*:*:*:*:*
Версия до 3.2.7 (исключая)
cpe:2.3:h:siemens:6gk5204-0bs00-3la3:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:siemens:6gk5204-0bs00-3pa3_firmware:*:*:*:*:*:*:*:*
Версия до 3.2.7 (исключая)
cpe:2.3:h:siemens:6gk5204-0bs00-3pa3:-:*:*:*:*:*:*:*

EPSS

Процентиль: 83%
0.01978
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-330
CWE-330

Связанные уязвимости

github логотип

GHSA-pvv4-8wmw-vjf3

CVSS3: 9.8
github
около 3 лет назад

A vulnerability has been identified in SCALANCE X204RNA (HSR) (All versions < V3.2.7), SCALANCE X204RNA (PRP) (All versions < V3.2.7), SCALANCE X204RNA EEC (HSR) (All versions < V3.2.7), SCALANCE X204RNA EEC (PRP) (All versions < V3.2.7), SCALANCE X204RNA EEC (PRP/HSR) (All versions < V3.2.7). The webserver of affected devices calculates session ids and nonces in an insecure manner. This could allow an unauthenticated remote attacker to brute-force session ids and hijack existing sessions.

EPSS

Процентиль: 83%
0.01978
Низкий

9.8 Critical

CVSS3

Дефекты

CWE-330
CWE-330