西门子Desigo PXC和DXR设备敏感饼干在没有安全的Https会话属性(cve - 2022 - 24045)

媒介站得住脚的安全插件ID 500743

剧情简介

远程资产脆弱性的影响。

描述

一个漏洞已被确定在Desigo DXR2(所有版本< V01.21.142.5-22), Desigo PXC3(所有版本< V01.21.142.4-18), Desigo PXC4(所有版本< v02.20.142.10 - 10884), Desigo PXC5(所有版本< v02.20.142.10 - 10884)。应用程序,登录成功后,在浏览器上设置会话cookie通过客户端JavaScript代码,而不应用任何安全属性(如安全、HttpOnly或SameSite)。任何试图浏览应用程序通过未加密的HTTP协议将导致所有的传播他/她在明文通过网络会话cookie。攻击者可以能够嗅探网络和获取敏感信息。

这个插件只能Tenable.ot。
有关更多信息,请访问//www.yyueer.com/products/tenable-ot。

解决方案

以下文字最初是由网络和基础设施安全机构(CISA)。原来的可以在CISA.gov找到。

西门子建议更新到最新的软件版本:

——Desigo DXR2:更新v01.21.142.5-22或更高版本
——Desigo PXC3:更新v01.21.142.4-18或更高版本
——Desigo PXC4:更新v02.20.142.10 - 10884或更高版本
——Desigo PXC5:更新v02.20.142.10 - 10884或更高版本

联系西门子更新信息。

一般安全措施,西门子建议保护网络接入设备与适当的机制。操作设备在一个受保护的环境中,西门子推荐配置环境根据西门子工业安全操作指南和建议后的产品手册。

更多信息,请参阅西门子安全顾问ssa - 626968

更多信息,请参阅西门子安全顾问ssa - 662649

另请参阅

https://cert portal.siemens.com/productcert/pdf/ssa - 626968. - pdf

https://www.cisa.gov/news - events/ics advisories/icsa - 22 - 132 - 10

插件的细节

严重程度:媒介

ID:500743年

版本:1.1

类型:远程

家庭:Tenable.ot

发表:1/25/2023

更新:7/24/2023

风险信息

冲程体积

风险因素:

分数:3.6

CVSS v2

风险因素:媒介

基础分数:4

向量:CVSS2 # AV: N /交流:L /非盟:S / C: P / I: N: N

CVSS分数来源:cve - 2022 - 24045

CVSS v3

风险因素:媒介

基础分数:6.5

向量:CVSS: 3.0 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N

漏洞信息

CPE:cpe / o:西门子:desigo_dxr2_firmware,cpe / o:西门子:desigo_pxc3_firmware,cpe / o:西门子:desigo_pxc4_firmware,cpe / o:西门子:desigo_pxc5_firmware

需要KB物品:Tenable.ot /西门子

利用缓解:没有任何已知的利用是可用的

补丁发布日期:5/20/2022

脆弱性出版日期:5/20/2022

参考信息

CVE:cve - 2022 - 24045

CWE:311年

Baidu
map