PT-2022-2719 · Siemens · Desigo Pxc3+3
Publicado
2022-05-10
·
Atualizado
2022-06-01
·
CVE-2022-24044
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Desigo DXR2 anteriores à V01.21.142.5-22
Versões do Desigo PXC3 anteriores à V01.21.142.4-18
Versões do Desigo PXC4 anteriores à V02.20.142.10-10884
Versões do Desigo PXC5 anteriores à V02.20.142.10-10884
Descrição
O problema está relacionado à falta de restrições às tentativas de autenticação no software dos módulos Desigo DXR2, PXC3, PXC4 e PXC5. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas, capturando listas de nomes de usuário e/ou endereços de e-mail juntamente com as senhas correspondentes. A funcionalidade de login não emprega contramedidas contra ataques de Password Spraying ou Credential Stuffing, permitindo que um invasor obtenha nomes de usuário válidos e, em seguida, execute um ataque preciso para obter acesso a pelo menos uma conta.
Recomendações
Para versões do Desigo DXR2 anteriores à V01.21.142.5-22, atualize para a versão V01.21.142.5-22 ou posterior para resolver o problema.
Para versões do Desigo PXC3 anteriores à V01.21.142.4-18, atualize para a versão V01.21.142.4-18 ou posterior para resolver o problema.
Para versões do Desigo PXC4 anteriores à V02.20.142.10-10884, atualize para a versão V02.20.142.10-10884 ou posterior para resolver o problema.
Para versões do Desigo PXC5 anteriores à V02.20.142.10-10884, atualize para a versão V02.20.142.10-10884 ou posterior para resolver o problema.
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Desigo Dxr2
Desigo Pxc3
Desigo Pxc4
Desigo Pxc5