检测
分析

西门子Desigo PXM设备中和不当使用特殊的元素在一个操作系统命令(OS命令注入)(cve - 2022 - 40176)

站得住脚的安全插件ID 500769

剧情简介

远程资产脆弱性的影响。

描述

一个漏洞已被确定在Desigo PXM30-1(所有版本< V02.20.126.11-41), Desigo PXM30。E(所有版本< V02.20.126.11-41), Desigo PXM40-1(所有版本< V02.20.126.11-41), Desigo PXM40。E(所有版本< V02.20.126.11-41), Desigo PXM50-1(所有版本< V02.20.126.11-41), Desigo PXM50。E(所有版本< V02.20.126.11-41), PXG3。< V02.20.126.11-37), PXG3 W100-1(所有版本。< V02.20.126.11-41), PXG3 W100-2(所有版本。< V02.20.126.11-37), PXG3 W200-1(所有版本。< V02.20.126.11-41 W200-2(所有版本)。
 存在不当中和使用特殊的元素在一个操作系统命令使用root特权恢复操作期间由于缺少验证文件包含在输入包的名字。通过恢复一个专门制作的包,一个偏远的低收入特权攻击者可以执行任意的系统命令使用root特权在设备上,导致一个完整的妥协。
这个插件只能Tenable.ot。
 有关更多信息,请访问//www.yyueer.com/products/tenable-ot。

解决方案

以下文字最初是由网络和基础设施安全机构(CISA)。原来的可以在CISA.gov找到。
西门子已经发布了对受影响的产品的更新和推荐用户更新到最新版本:
——Desigo PXM30-1:更新V02.20.126.11-41或更高版本
 ——Desigo PXM30。艾凡:更新V02.20.126.11-41或更高版本
 ——Desigo PXM40-1:更新V02.20.126.11-41或更高版本
 ——Desigo PXM40。艾凡:更新V02.20.126.11-41或更高版本
 ——Desigo PXM50-1:更新V02.20.126.11-41或更高版本
 ——Desigo PXM50。艾凡:更新V02.20.126.11-41或更高版本
 ——PXG3。W100-1:更新V02.20.126.11-37或更高版本
 ——PXG3。W100-2:更新V02.20.126.11-41或更高版本
 ——PXG3。W200-1:更新V02.20.126.11-37或更高版本
 ——PXG3。W200-2:更新V02.20.126.11-41或更高版本
一般安全措施,西门子建议保护网络接入设备与适当的机制。操作设备在一个受保护的环境中,西门子推荐配置环境根据西门子工业安全操作指南和建议产品手册。
附加信息工业安全由西门子在西门子工业安全的网页上可以找到。
有关更多信息,请参见相关的西门子安全顾问在HTML或CSAF格式。

另请参阅

https://cert portal.siemens.com/productcert/pdf/ssa - 360783. - pdf

https://www.cisa.gov/news - events/ics advisories/icsa - 22 - 286 - 06

插件的细节

严重程度:

ID:500769年

版本:1.1

类型:远程

家庭:Tenable.ot

发表:1/25/2023

更新:7/24/2023

风险信息

冲程体积

风险因素:媒介

分数:5.9

CVSS v3

风险因素:

基础分数:8

向量:CVSS: 3.0 / AV: N /交流:L /公关:L / UI: R / S: U / C: H /我:H: H

漏洞信息

CPE:cpe / o:西门子:desigo_pxm30-1_firmware,cpe / o:西门子:desigo_pxm30.e_firmware,cpe / o:西门子:desigo_pxm40-1_firmware,cpe / o:西门子:desigo_pxm40.e_firmware,cpe / o:西门子:desigo_pxm50-1_firmware,cpe / o:西门子:desigo_pxm50.e_firmware,cpe / o:西门子:pxg3.w100-1_firmware,cpe / o:西门子:pxg3.w100-2_firmware,cpe / o:西门子:pxg3.w200-1_firmware,cpe / o:西门子:pxg3.w200-2_firmware

需要KB物品:Tenable.ot /西门子

利用缓解:没有任何已知的利用是可用的

补丁发布日期:10/11/2022

脆弱性出版日期:10/11/2022

参考信息

CVE:cve - 2022 - 40176

CWE:78年

Baidu
map