Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • CP-8031 MASTER MODULE (6MF2803-1AA00) versions antérieures à CPCI85 V05.11
  • CP-8031 MASTER MODULE (6MF2803-1AA00) versions antérieures à CPCI85 V05.11 (uniquement avec le support debug activé)
  • CP-8050 MASTER MODULE (6MF2805-0AA00) versions antérieures à CPCI85 V05.11
  • CP-8050 MASTER MODULE (6MF2805-0AA00) versions antérieures à CPCI85 V05.11 (uniquement avec le support debug activé)
  • Mendix Forgot Password (Mendix 10 compatible) versions antérieures à V5.4.0
  • Mendix Forgot Password (Mendix 7 compatible) versions antérieures à V3.7.3
  • Mendix Forgot Password (Mendix 8 compatible) versions antérieures à V4.1.3
  • Mendix Forgot Password (Mendix 9 compatible) versions antérieures à V5.4.0
  • Parasolid V35.0 versions antérieures à V35.0.262
  • Parasolid V35.1 versions antérieures à V35.1.250
  • Parasolid V36.0 versions antérieures à V36.0.169
  • SCALANCE W1750D (JP) (6GK5750-2HX01-1AD0) versions antérieures à V8.10.0.6
  • SCALANCE W1750D (ROW) (6GK5750-2HX01-1AA0) versions antérieures à V8.10.0.6
  • SCALANCE W1750D (USA) (6GK5750-2HX01-1AB0) versions antérieures à V8.10.0.6
  • SICAM PAS/PQS versions supérieures ou égales à V8.00 versions antérieures à V8.22
  • SIMATIC WinCC OA V3.17 versions antérieures à V3.17 P029
  • SIMATIC WinCC OA V3.18 versions antérieures à V3.18 P019
  • SIMATIC WinCC OA V3.19 versions antérieures à V3.19 P005
  • Simcenter Amesim versions antérieures à V2021.1
  • SINEC NMS versions antérieures à V2.0
  • Tecnomatix Plant Simulation V2201 versions antérieures à V2201.0009
  • Tecnomatix Plant Simulation V2302 versions antérieures à V2302.0003
  • Xpedition Layout Browser versions antérieures à VX.2.14

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation