ГлавнаяБаза уязвимостей БДУ → BDU:2026-00260
4.9средняя

BDU:2026-00260

Уязвимость среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated Automation Portal (Portal TIA), программного обеспечения для моделирования и симуляции работы контроллеров серии Siemens S7, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю читать произвольные файлы
Опубликовано: 2026-01-09
Описание

Уязвимость среды разработки программного обеспечения систем автоматизации технологических процессов Totally Integrated Automation Portal (Portal TIA), программного обеспечения для моделирования и симуляции работы контроллеров серии Siemens S7 связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю читать произвольные файлы

Затрагиваемое ПО и версии
Siemens Totally Integrated Automation Portal (TIA Portal) (17)Siemens Totally Integrated Automation Portal (TIA Portal) (18)Siemens Totally Integrated Automation Portal (TIA Portal) (19)Siemens Totally Integrated Automation Portal (TIA Portal) (20)SIMOTION SCOUT TIA (5.4)SIMOTION SCOUT TIA (5.5)SIMOTION SCOUT TIA (до 5.6 SP1 HF7)SIMOTION SCOUT TIA (до V5.7 SP1 HF1)SINAMICS STARTER (5.5)SINAMICS STARTER (5.6)SINAMICS STARTER (5.7)
Способ устранения

Использование рекомендаций:
https://cert-portal.siemens.com/productcert/html/ssa-186293.html

Компенсирующие меры:
- использование шифрования файла проекта (файл конфигурации XML) при сохранении и ограничение доступа только доверенным пользователям;
- использование безопасных протоколов связи при обмене файлов по сети;
- ограничение загрузки файлов только из доверенных источников;
- вычисление хэш файлов проекта и регулярная проверка его целостности перед использованием.

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/html/ssa-186293.html
Проверьте безопасность своего сайта и почты → Полная проверка домена