Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
Systèmes affectés
- SCALANCE W-700 IEEE 802.11n versions antérieures à 6.6.0
- SIMATIC CN 4100 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
- SIMATIC Field PG M5 toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC Field PG M6 toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC IPC BX-32A versions antérieures à 29.01.09
- SIMATIC IPC BX-39A versions antérieures à 29.01.09
- SIMATIC IPC BX-56A versions antérieures à 32.01.09
- SIMATIC IPC BX-59A versions antérieures à 32.01.09
- SIMATIC IPC MD-57A versions antérieures à 30.01.10
- SIMATIC IPC PX-32A versions antérieures à 29.01.09
- SIMATIC IPC PX-39A PRO versions antérieures à 29.01.09
- SIMATIC IPC PX-39A versions antérieures à 29.01.09
- SIMATIC IPC RW-528A versions antérieures à 34.01.02
- SIMATIC IPC RW-548A versions antérieures à 34.01.02
- SIMATIC IPC227E toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
- SIMATIC IPC277E toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
- SIMATIC IPC427E versions antérieures à 21.01.20
- SIMATIC IPC477E PRO versions antérieures à 21.01.20
- SIMATIC IPC477E versions antérieures à 21.01.20
- SIMATIC IPC627E toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC IPC647E toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC IPC677E toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC IPC847E toutes versions pour la vulnérabilité CVE-2025-2884
- SIMATIC ITP1000 toutes versions pour la vulnérabilité CVE-2025-2884
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens SSA-019200 du 14 avril 2026 https://cert-portal.siemens.com/productcert/html/ssa-019200.html
- Bulletin de sécurité Siemens SSA-628843 du 14 avril 2026 https://cert-portal.siemens.com/productcert/html/ssa-628843.html
- Référence CVE CVE-2020-24588 https://www.cve.org/CVERecord?id=CVE-2020-24588
- Référence CVE CVE-2020-26139 https://www.cve.org/CVERecord?id=CVE-2020-26139
- Référence CVE CVE-2020-26140 https://www.cve.org/CVERecord?id=CVE-2020-26140
- Référence CVE CVE-2020-26141 https://www.cve.org/CVERecord?id=CVE-2020-26141
- Référence CVE CVE-2020-26143 https://www.cve.org/CVERecord?id=CVE-2020-26143
- Référence CVE CVE-2020-26144 https://www.cve.org/CVERecord?id=CVE-2020-26144
- Référence CVE CVE-2020-26146 https://www.cve.org/CVERecord?id=CVE-2020-26146
- Référence CVE CVE-2020-26147 https://www.cve.org/CVERecord?id=CVE-2020-26147
- Référence CVE CVE-2021-3712 https://www.cve.org/CVERecord?id=CVE-2021-3712
- Référence CVE CVE-2022-0778 https://www.cve.org/CVERecord?id=CVE-2022-0778
- Référence CVE CVE-2022-31765 https://www.cve.org/CVERecord?id=CVE-2022-31765
- Référence CVE CVE-2022-36323 https://www.cve.org/CVERecord?id=CVE-2022-36323
- Référence CVE CVE-2022-36324 https://www.cve.org/CVERecord?id=CVE-2022-36324
- Référence CVE CVE-2022-36325 https://www.cve.org/CVERecord?id=CVE-2022-36325
- Référence CVE CVE-2023-44373 https://www.cve.org/CVERecord?id=CVE-2023-44373
- Référence CVE CVE-2025-2884 https://www.cve.org/CVERecord?id=CVE-2025-2884
