PT-2022-21705 · Siemens · Simatic Mv560 X+2
Publicado
2022-07-12
·
Atualizado
2022-07-15
·
CVE-2022-33138
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do SIMATIC MV540 H anteriores à V3.3
Versões do SIMATIC MV540 S anteriores à V3.3
Versões do SIMATIC MV550 H anteriores à V3.3
Versões do SIMATIC MV550 S anteriores à V3.3
Versões do SIMATIC MV560 U anteriores à V3.3
Versões do SIMATIC MV560 X anteriores à V3.3
Descrição
Foi identificada uma vulnerabilidade em que os dispositivos afetados não realizam autenticação para vários pontos de extremidade da API web. Isso poderia permitir que um invasor remoto não autenticado lesse e baixasse dados do dispositivo.
Recomendações
Para versões do SIMATIC MV540 H anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Para versões do SIMATIC MV540 S anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Para versões do SIMATIC MV550 H anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Para versões do SIMATIC MV550 S anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Para versões do SIMATIC MV560 U anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Para versões do SIMATIC MV560 X anteriores à V3.3, atualize para a versão V3.3 ou posterior.
Como solução temporária, considere restringir o acesso aos pontos de extremidade da API web afetados até que um patch esteja disponível.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simatic Mv540 S
Simatic Mv550 H
Simatic Mv560 X