Avisos de seguridad de Siemens de junio de 2022
Fecha de publicación 16/06/2022
Identificador
INCIBE-2022-0790
Importancia
5 - Crítica
Recursos Afectados
- Xpedition Designer, versiones anteriores a X.2.11;
- SINEMA Remote Connect Server, versiones anteriores a 3.0 SP2;
- Mendix SAML Module:
- Mendix 7, versiones anteriores a 1.16.6;
- Mendix 8, versiones anteriores a 2.2.2;
- Mendix 9, versiones anteriores a 3.2.3.
- Distintos modelos y versiones de OPC UA Connector, PROFINET IO Connector, SIMATIC, RUGGEDCOM, SCALANCE, SINEMA, SIPLUS, TeleControl Server Basic, TIA y TIM listados en varios avisos del fabricante.
- Todas las versiones de EN100 Ethernet module:
- DNP3 IP,
- IEC 104,
- IEC 61850,
- Modbus TCP,
- PROFINET IO.
- Teamcenter Active Workspace:
- versiones anteriores a 5.2.9;
- versiones anteriores a 6.0.3.
- Todas las versiones que usan Shared HIS en Spectrum Power 4, 7 y MGMS.
Descripción
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Solución
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de Referencias.
Detalle
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 15 vulnerabilidades críticas, 18 altas, 24 medias y 2 bajas.
Los tipos de nuevas vulnerabilidades críticas publicadas se corresponden con los siguientes:
- Escritura fuera de límites - CVE-2021-39275.
- Server-Side Request Forgery (SSRF) - CVE-2021-40438.
- Error de validación de origen - CVE-2022-30228.
- Falta de autentificación en una función crítica - CVE-2022-30229, CVE-2022-30230.
- Desbordamiento o ajuste de enteros - CVE-2022-22822, CVE-2022-22823, CVE-2022-22824 y CVE-2022-23990.
- Codificación o escape incorrecto de la salida - CVE-2022-25235.
- Exposición del recurso a la esfera equivocada - CVE-2022-25236.
- Desbordamiento de enteros o envoltura - CVE-2022-25315.
- Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) - CVE-2020-27304.
- Uso de credenciales en texto claro - CVE-2022-31619.
Listado de referencias
Etiquetas