ГлавнаяБаза уязвимостей БДУ → BDU:2019-04229
9высокая

BDU:2019-04229 (CVE-2019-10935)

Уязвимость веб-приложения SIMATIC WinCC DataMonitor, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю загрузить произвольный ASPX код
Опубликовано: 2019-11-25
Описание

Уязвимость веб-приложения SIMATIC WinCC DataMonitor связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, загрузить произвольный ASPX код

Затрагиваемое ПО и версии
SIMATIC WinCC (до 7.2 включительно)SIMATIC PCS 7 (от 8.2 до 8.2 SP1)SIMATIC PCS 7 (до 8.0 включительно)SIMATIC PCS 7 (до V8.1)SIMATIC WinCC Runtime Professional (от V14 до V14.1 Upd 8)SIMATIC WinCC Runtime Professional (от V15 до V15.1 Upd 3)SIMATIC WinCC Runtime Professional (V13)SIMATIC WinCC (от 7.3 до 7.3 Upd 19)SIMATIC WinCC (от 7.4 до 7.4 SP1 Upd11)SIMATIC WinCC (от 7.5 до 7.5 Upd3)SIMATIC PCS 7 (от 9.0 до 9.0 SP2)SIMATIC WinCC (TIA Portal) Professional (V13)SIMATIC WinCC (TIA Portal) Professional (от V14 до V14 SP1 Upd9)SIMATIC WinCC (TIA Portal) Professional (от V15 до М15.1 Upd 3)
Способ устранения

Обновление программного обеспечения:
Для SIMATIC WinCC V7.3 до V7.3 Upd 19:
https://support.industry.siemens.com/cs/ww/en/view/109768972

Для SIMATIC WinCC Runtime Professional V14 до V14 SP1 Upd 8:
https://support.industry.siemens.com/cs/ww/en/view/109747394

Для SIMATIC PCS 7 V8.1 до V8.1 с WinCC V7.3 SP1 Upd19:
https://support.industry.siemens.com/cs/ww/en/view/109768972

Для SIMATIC PCS 7 V8.2 до V8.2 SP1:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC PCS 7 V9.0 до V9.0 SP2:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC WinCC V7.4 до V7.4 SP1 Upd 11:
https://support.industry.siemens.com/cs/ww/en/view/109768093

Для SIMATIC WinCC V7.5 до V7.5 Upd 3:
https://support.industry.siemens.com/cs/ww/en/view/109767227

Для SIMATIC WinCC Runtime Professional V15 до V15.1 Upd 3:
https://support.industry.siemens.com/cs/ww/en/view/109767227

Компенсирующие меры:
Применение глубокоэшелонированной защиты

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-10935https://cert-portal.siemens.com/productcert/pdf/ssa-121293.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена