Siemens ha informado nuevos avisos de seguridad que afectan múltiples productos

Siemens ha publicado 20 avisos de seguridad que afectan a varios de sus productos, de las 48 vulnerabilidades 29 son de vulnerabilidad alta, 11 son de vulnerabilidad media y 8 son de vulnerabilidad baja.

CVE-2022-43517 -[CVSS:7.8]
Privilege Escalation Vulnerability in Simcenter STAR-CCM+

Simcenter STAR-CCM+ contiene una vulnerabilidad de escalada de privilegios que podría permitir a un atacante local con una cuenta sin privilegios anular o modificar el ejecutable de servicio y, posteriormente, obtener privilegios elevados.

Siemens está preparando actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.

CVE-2022-43722 -[CVSS:8.8], CVE-2022-43723 -[CVSS:7.5], CVE-2022-43724 -[CVSS:8.3]
Several Vulnerabilities in SICAM PAS before V8.06

SICAM PAS/PQS anterior a V8.06 está afectado por tres vulnerabilidades que podrían conducir a la ejecución remota de código, escalada de privilegios o la creación de una condición de denegación de servicio.

Siemens ha publicado varias actualizaciones para SICAM PAS/PQS y recomienda actualizar a la última versión.

CVE-2022-41281 -[CVSS:7.8], CVE-2022-41282 -[CVSS:7.8], CVE-2022-41283 -[CVSS:7.8], CVE-2022-41284 -[CVSS:7.8], CVE-2022-41285 -[CVSS:7.8], CVE-2022-41286 -[CVSS:7.8], CVE-2022-41284 -[CVSS:7.8]
Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go

Siemens Teamcenter Visualization y JT2Go están afectados por múltiples vulnerabilidades de análisis de archivos que podrían activarse cuando la aplicación lee un archivo malicioso en formato CGM o RAS. Si se engaña a un usuario para que abra un archivo malicioso con los productos afectados, la aplicación podría bloquearse o provocar la ejecución de código arbitrario.

Siemens ha publicado actualizaciones para varios productos afectados y recomienda actualizar a las últimas versiones. Siemens está preparando más actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.

CVE-2022-46345 -[CVSS:7.8], CVE-2022-46346 -[CVSS:7.8], CVE-2022-46347 -[CVSS:7.8], CVE-2022-46348 -[CVSS:7.8], CVE-2022-46349 -[CVSS:7.8], CVE-2022-46349 -[CVSS:7.8]
Multiple File Parsing Vulnerabilities in Parasolid

Parasolid está afectado por vulnerabilidades de lectura/escritura fuera de límites que podrían activarse cuando la aplicación lee archivos en formato X_B. Si un usuario es engañado para abrir un archivo malicioso con las aplicaciones afectadas, un atacante podría aprovechar la vulnerabilidad para realizar la ejecución remota de código en el contexto del proceso actual.

Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.

CVE-2022-34821 -[CVSS:7.6]
Multiple Vulnerabilities in SCALANCE Products

Múltiples dispositivos SCALANCE están afectados por varias vulnerabilidades que podrían permitir a un atacante inyectar código, recuperar datos como información de depuración así como contraseñas CLI de usuario o poner la CLI en un estado irresponsable.

Siemens ha publicado actualizaciones para varios productos afectados y recomienda actualizar a las últimas versiones. Siemens está preparando más actualizaciones y recomienda contramedidas para los productos donde las actualizaciones no están, o aún no están disponibles.

CVE-2022-3602 -[CVSS:7.5], CVE-2022-3786 -[CVSS:7.5]
Buffer Overflow Vulnerabilities in OpenSSL 3.0 Affecting Siemens Products

El componente openSSL, versiones 3.0.0 a 3.0.6, contiene dos vulnerabilidades de desbordamiento de búfer (CVE-2022-3602, CVE-2022-3786) en la verificación de certificados X.509 [0]. Podrían permitir a un atacante crear una condición de denegación de servicio o ejecutar código arbitrario en un servidor TLS vulnerable (si el servidor solicita la autenticación del certificado del cliente), o en un cliente TLS vulnerable.

Siemens está preparando actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.

CVE-2022-46350 -[CVSS:7.9], CVE-2022-46352 -[CVSS:7.5], CVE-2022-46353 -[CVSS:8.8]
Multiple Vulnerabilities in SCALANCE X-200RNA Switch Devices before V3.2.7

Los dispositivos de conmutación SCALANCE X-200RNA anteriores a la versión V3.2.7 contienen múltiples vulnerabilidades que podrían permitir a un atacante provocar una denegación de servicio, extraer información confidencial o secuestrar sesiones existentes.

Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.

CVE-2022-3159 -[CVSS:7.8], CVE-2022-3160 -[CVSS:7.8], CVE-2022-3161 -[CVSS:7.8]
Datalogics File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go

Siemens Teamcenter Visualization y JT2Go están afectados por múltiples vulnerabilidades de escritura fuera de los límites en la biblioteca APDFL de Datalogics. Si se engaña a un usuario para que abra un archivo PDF malicioso con los productos afectados, la aplicación podría bloquearse o provocar la ejecución de código arbitrario.

Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.

CVE-2022-30065 -[CVSS:7.8]
Multiple Vulnerabilities in SCALANCE SC-600 Family before V3.0

Múltiples vulnerabilidades que afectan a varios componentes de terceros de la familia SCALANCE SC-600 podrían permitir a un atacante provocar una denegación de servicio, corromper la memoria o ejecutar código personalizado.

Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.

CVE-2022-45936 -[CVSS:8.1]
Improper Access Control Vulnerability in Mendix Email Connector Module

El módulo Mendix Email Connector maneja incorrectamente el control de acceso para algunas entidades del módulo. Esto podría permitir a atacantes remotos autenticados leer y manipular información sensible.

Mendix ha publicado una actualización para el módulo Mendix Email Connector y recomienda actualizar a la última versión.

CVE-2022-46664 -[CVSS:8.1]
Improper Access Control Vulnerability in Mendix Workflow Commons Module

El módulo Mendix Workflow Commons maneja incorrectamente el control de acceso para algunas entidades del módulo. Esto podría permitir a atacantes remotos autenticados leer o borrar información sensible.

Mendix ha publicado una actualización para el módulo Mendix Workflow Commons y recomienda actualizar a la última versión.

Tenga en cuenta que la corrección podría afectar ligeramente a la funcionalidad del módulo en casos específicos.

CVE-2022-45937 -[CVSS:8.8]
Privilege Management Vulnerability in APOGEE/TALON Field Panels

Una vulnerabilidad en la gestión de privilegios en las series de productos APOGEE PXC y TALON TC podría permitir a atacantes autenticados con bajos privilegios obtener acceso con privilegios altos.

Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.

• CVE-2022-46140 [CVSS:6.5]
  Use of a Broken or Risky Cryptographic Algorithm
• CVE-2022-46144 [CVSS:6.5]
  Improper Control of a Resource Through its Lifetime
• CVE-2022-46351 [CVSS:6.5]
  Uncontrolled Resource Consumption
• CVE-2022-46355 [CVSS:6.5]
  Exposure of Sensitive Information to an Unauthorized Actor
• CVE-2022-32206 -[CVSS:6.5]
  Allocation of Resources Without Limits or Throttling
• CVE-2022-44575 -[CVSS:6.1]
  Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
• CVE-2022-46142 -[CVSS:5.7]
  Storing Passwords in a Recoverable Format
• CVE-2022-46265 -[CVSS:5.4]
  Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')
• CVE-2022-44731 -[CVSS:5.4]
  Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')
• CVE-2022-45044 -[CVSS:5.3]
  Uncontrolled Resource Consumption
• CVE-2022-32205 -[CVSS:4.3]
  Allocation of Resources Without Limits or Throttling

• CVE-2022-41278 -[CVSS:3.3]
  NULL Pointer Dereference
• CVE-2022-41279 -[CVSS:3.3]
  NULL Pointer Dereference
• CVE-2022-41280 -[CVSS:3.3]
  NULL Pointer Dereference
• CVE-2022-41287 -[CVSS:3.3]
  Divide By Zero
• CVE-2022-41288 -[CVSS:3.3]
  Allocation of Resources Without Limits or Throttling
• CVE-2022-45484 -[CVSS:3.3]
  Out-of-bounds Read
• CVE-2022-46143 -[CVSS:2.7]
  Improper Validation of Specified Quantity in Input
• CVE-2022-46354 -[CVSS:2.6]
  Improper Access Control

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.