PT-2022-3582 · Siemens · Simatic Energy Manager Pro+1
Publicado
2022-04-12
·
Atualizado
2022-04-19
·
CVE-2022-23449
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SIMATIC Energy Manager Basic anteriores à V7.3 Update 1
Versões do SIMATIC Energy Manager PRO anteriores à V7.3 Update 1
Descrição
Um problema de sequestro de DLL (DLL Hijacking) poderia permitir que um invasor local executasse código com privilégios elevados ao colocar uma DLL maliciosa em um dos diretórios do caminho de busca de DLLs. A vulnerabilidade está relacionada a um elemento não controlado na pesquisa de caminho ao carregar bibliotecas DLL, o que pode permitir que um invasor execute código arbitrário.
Recomendações
Para versões do SIMATIC Energy Manager Basic anteriores à V7.3 Update 1, atualize para a V7.3 Update 1 ou posterior para resolver o problema.
Para versões do SIMATIC Energy Manager PRO anteriores à V7.3 Update 1, atualize para a V7.3 Update 1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos diretórios no caminho de pesquisa de DLLs para minimizar o risco de exploração.
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simatic Energy Manager Basic
Simatic Energy Manager Pro