BDU:2022-04990: Уязвимость программно-аппаратного обеспечения Siemens, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю осуществить межсайтовые сценарные атаки

Описание уязвимости Уязвимость программно-аппаратного обеспечения Siemens связана с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовые сценарные атаки
Вендор Siemens AG
Наименование ПО SCALANCE S615, SCALANCE W-700, SCALANCE W1700, SCALANCE M-800, SCALANCE SC-600, SCALANCE XB-200, SCALANCE XC-200, SCALANCE XF-200BA, SCALANCE XM-400, SCALANCE XP-200, SCALANCE XR-300WG, SCALANCE XR-500
Версия ПО
  • - (SCALANCE S615)
  • - (SCALANCE W-700)
  • - (SCALANCE W1700)
  • - (SCALANCE M-800)
  • до 2.3.1 (SCALANCE SC-600)
  • - (SCALANCE XB-200)
  • - (SCALANCE XC-200)
  • - (SCALANCE XF-200BA)
  • - (SCALANCE XM-400)
  • - (SCALANCE XP-200)
  • - (SCALANCE XR-300WG)
  • - (SCALANCE XR-500)
Тип ПО ПО программно-аппаратного средства АСУ ТП, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Непринятие мер по нейтрализации script-related тэгов HTML на веб-странице (основной XSS)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.08.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к портам 80/TCP и 443/TCP;
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- организация доступа к устройствам только из определенного сегмента сети (сегментирование сети);
- настройка встроенной системы разграничения доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://cert-portal.siemens.com/productcert/pdf/ssa-710008.pdf
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения