西门斯ScallanceW1750D输入生成期间异性中和(Cross-Site脚本编程)(CVE-2022-37892)

介质可租OT安全插件ID501020

简表

远程OT资产受脆弱性影响

描述性

Artius InstostOS和Artios10网络管理接口中的漏洞可允许非认证远程攻击者对接口用户实施存储跨站脚本攻击成功开发可允许攻击者任意脚本代码在Aruba instatOS6.4.x:6.4.8.4.84.2.4.20及下方受创界面背景下浏览器执行阿鲁巴6.5.x6.5.4.23阿鲁巴8.6.x:8.6.0.18阿鲁巴8.7.x:8.7.1.9
阿鲁巴8.10.x81.0.1ArubaOS10.3.x:10.3.1.0阿鲁巴发布Aruca InnstatOS升级处理安全漏洞

插件只对Tenable.ot工作
网站s/www.yyueer.com/products/tenable-ot获取更多信息

求解

下文原由网络安全基础设施安全局创建原创可见于CISA.gov

西门子识别出下列减少风险的具体变通办法和缓冲办法:

CVE-2022-3785、CVE-2022-3786、CVE-2022-3787、CVE-2022-3788和CVE-2022-3789:通过集群安全命令实现CPS
CVE-2022-37890、CVE-2022-37891、CVE-2022-37892、CVE-2022-37895和CVE-2022-37896:将网络管理接口限制为2层专用段/VLAN并/或控制3层以上防火墙策略接口
CVE-2022-37893:将命令行接口限制为2层专用段/VLAN并/或控制3层以上防火墙策略接口

西门子建议保护网络访问带适当机制的设备iemens建议环境配置, 依据Siemens工业安全操作指南并遵循产品手册中的建议

西门子补充工业安全信息可见西门子网站

详情见HTML和CSAF中相关Siemens安全咨询SSA-506569

西门斯SCALACEW1750D是一个标志性设备从阿鲁巴关于这些漏洞的更多资料见阿鲁巴安全咨询ARUBA-PSA-202-014