PT-2022-3434 · Siemens · Desigo Pxc3+3
Publicado
2022-05-10
·
Atualizado
2022-10-06
·
CVE-2022-24041
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Desigo DXR2 anteriores à V01.21.142.5-22
Versões do Desigo PXC3 anteriores à V01.21.142.4-18
Versões do Desigo PXC4 anteriores à V02.20.142.10-10884
Versões do Desigo PXC5 anteriores à V02.20.142.10-10884
Descrição
Foi identificada uma vulnerabilidade no aplicativo web dos dispositivos Desigo, na qual a chave derivada PBKDF2 das senhas dos usuários é armazenada com uma contagem de iterações baixa. Isso permite que um invasor com privilégios de acesso ao perfil do usuário recupere os hashes de senha armazenados de outras contas e, em seguida, execute com sucesso um ataque de quebra de senha offline para recuperar as senhas em texto simples de outros usuários.
Recomendações
Para versões do Desigo DXR2 anteriores à V01.21.142.5-22, atualize para a versão V01.21.142.5-22 ou posterior.
Para versões do Desigo PXC3 anteriores à V01.21.142.4-18, atualize para a versão V01.21.142.4-18 ou posterior.
Para versões do Desigo PXC4 anteriores à V02.20.142.10-10884, atualize para a versão V02.20.142.10-10884 ou posterior.
Para versões do Desigo PXC5 anteriores à V02.20.142.10-10884, atualize para a versão V02.20.142.10-10884 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Desigo Dxr2
Desigo Pxc3
Desigo Pxc4
Desigo Pxc5