ГлавнаяБаза уязвимостей БДУ → BDU:2022-03006
9критическая

BDU:2022-03006 (CVE-2022-24039)

Уязвимость функции AddCell веб-сервера микропрограммного обеспечения модулей станций автоматизации помещений Desigo PXC4 и PXC5, позволяющая нарушителю выполнить произвольный код путем внедрения специально сформированного XML в файл отчёта XLS
Опубликовано: 2022-05-18
Описание

Уязвимость функции AddCell веб-сервера микропрограммного обеспечения модулей станций автоматизации помещений Desigo PXC4 и PXC5 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем внедрения специально сформированного XML в файл отчёта XLS

Затрагиваемое ПО и версии
Desigo PXC4 (02.20.142.10-10884)Desigo PXC5 (02.20.142.10-10884)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
использование входных данных только из доверенных источников;
- использование средств межсетевого экранирования уровня приложений с целью ограничения доступа к устройству;
- сегментирование сети с целью предотвращения несанкционированного доступа к промышленному оборудованию;
- ограничение доступа к устройству из общедоступных сетей (Интернет).

Информация от разработчика:
https://cert-portal.siemens.com/productcert/pdf/ssa-626968.pdf

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/pdf/ssa-626968.pdfhttps://nvd.nist.gov/vuln/detail/CVE-2022-24039
Проверьте безопасность своего сайта и почты → Полная проверка домена