Siemens ha publicado 20 avisos de seguridad que afectan a varios de sus productos, de las 48 vulnerabilidades 29 son de vulnerabilidad alta, 11 son de vulnerabilidad media y 8 son de vulnerabilidad baja.
CVE-2022-43517 -[CVSS:7.8]
Privilege Escalation Vulnerability in Simcenter STAR-CCM+
Simcenter STAR-CCM+ contiene una vulnerabilidad de escalada de privilegios que podría permitir a un atacante local con una cuenta sin privilegios anular o modificar el ejecutable de servicio y, posteriormente, obtener privilegios elevados.
Siemens está preparando actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.
CVE-2022-43722 -[CVSS:8.8], CVE-2022-43723 -[CVSS:7.5], CVE-2022-43724 -[CVSS:8.3]
Several Vulnerabilities in SICAM PAS before V8.06
SICAM PAS/PQS anterior a V8.06 está afectado por tres vulnerabilidades que podrían conducir a la ejecución remota de código, escalada de privilegios o la creación de una condición de denegación de servicio.
Siemens ha publicado varias actualizaciones para SICAM PAS/PQS y recomienda actualizar a la última versión.
CVE-2022-41281 -[CVSS:7.8], CVE-2022-41282 -[CVSS:7.8], CVE-2022-41283 -[CVSS:7.8], CVE-2022-41284 -[CVSS:7.8], CVE-2022-41285 -[CVSS:7.8], CVE-2022-41286 -[CVSS:7.8], CVE-2022-41284 -[CVSS:7.8]
Multiple File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
Siemens Teamcenter Visualization y JT2Go están afectados por múltiples vulnerabilidades de análisis de archivos que podrían activarse cuando la aplicación lee un archivo malicioso en formato CGM o RAS. Si se engaña a un usuario para que abra un archivo malicioso con los productos afectados, la aplicación podría bloquearse o provocar la ejecución de código arbitrario.
Siemens ha publicado actualizaciones para varios productos afectados y recomienda actualizar a las últimas versiones. Siemens está preparando más actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.
CVE-2022-46345 -[CVSS:7.8], CVE-2022-46346 -[CVSS:7.8], CVE-2022-46347 -[CVSS:7.8], CVE-2022-46348 -[CVSS:7.8], CVE-2022-46349 -[CVSS:7.8], CVE-2022-46349 -[CVSS:7.8]
Multiple File Parsing Vulnerabilities in Parasolid
Parasolid está afectado por vulnerabilidades de lectura/escritura fuera de límites que podrían activarse cuando la aplicación lee archivos en formato X_B. Si un usuario es engañado para abrir un archivo malicioso con las aplicaciones afectadas, un atacante podría aprovechar la vulnerabilidad para realizar la ejecución remota de código en el contexto del proceso actual.
Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.
CVE-2022-34821 -[CVSS:7.6]
Multiple Vulnerabilities in SCALANCE Products
Múltiples dispositivos SCALANCE están afectados por varias vulnerabilidades que podrían permitir a un atacante inyectar código, recuperar datos como información de depuración así como contraseñas CLI de usuario o poner la CLI en un estado irresponsable.
Siemens ha publicado actualizaciones para varios productos afectados y recomienda actualizar a las últimas versiones. Siemens está preparando más actualizaciones y recomienda contramedidas para los productos donde las actualizaciones no están, o aún no están disponibles.
CVE-2022-3602 -[CVSS:7.5], CVE-2022-3786 -[CVSS:7.5]
Buffer Overflow Vulnerabilities in OpenSSL 3.0 Affecting Siemens Products
El componente openSSL, versiones 3.0.0 a 3.0.6, contiene dos vulnerabilidades de desbordamiento de búfer (CVE-2022-3602, CVE-2022-3786) en la verificación de certificados X.509 [0]. Podrían permitir a un atacante crear una condición de denegación de servicio o ejecutar código arbitrario en un servidor TLS vulnerable (si el servidor solicita la autenticación del certificado del cliente), o en un cliente TLS vulnerable.
Siemens está preparando actualizaciones y recomienda contramedidas específicas para los productos en los que las actualizaciones no están, o todavía no están disponibles.
CVE-2022-46350 -[CVSS:7.9], CVE-2022-46352 -[CVSS:7.5], CVE-2022-46353 -[CVSS:8.8]
Multiple Vulnerabilities in SCALANCE X-200RNA Switch Devices before V3.2.7
Los dispositivos de conmutación SCALANCE X-200RNA anteriores a la versión V3.2.7 contienen múltiples vulnerabilidades que podrían permitir a un atacante provocar una denegación de servicio, extraer información confidencial o secuestrar sesiones existentes.
Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.
CVE-2022-3159 -[CVSS:7.8], CVE-2022-3160 -[CVSS:7.8], CVE-2022-3161 -[CVSS:7.8]
Datalogics File Parsing Vulnerabilities in Teamcenter Visualization and JT2Go
Siemens Teamcenter Visualization y JT2Go están afectados por múltiples vulnerabilidades de escritura fuera de los límites en la biblioteca APDFL de Datalogics. Si se engaña a un usuario para que abra un archivo PDF malicioso con los productos afectados, la aplicación podría bloquearse o provocar la ejecución de código arbitrario.
Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.
CVE-2022-30065 -[CVSS:7.8]
Multiple Vulnerabilities in SCALANCE SC-600 Family before V3.0
Múltiples vulnerabilidades que afectan a varios componentes de terceros de la familia SCALANCE SC-600 podrían permitir a un atacante provocar una denegación de servicio, corromper la memoria o ejecutar código personalizado.
Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.
CVE-2022-45936 -[CVSS:8.1]
Improper Access Control Vulnerability in Mendix Email Connector Module
El módulo Mendix Email Connector maneja incorrectamente el control de acceso para algunas entidades del módulo. Esto podría permitir a atacantes remotos autenticados leer y manipular información sensible.
Mendix ha publicado una actualización para el módulo Mendix Email Connector y recomienda actualizar a la última versión.
CVE-2022-46664 -[CVSS:8.1]
Improper Access Control Vulnerability in Mendix Workflow Commons Module
El módulo Mendix Workflow Commons maneja incorrectamente el control de acceso para algunas entidades del módulo. Esto podría permitir a atacantes remotos autenticados leer o borrar información sensible.
Mendix ha publicado una actualización para el módulo Mendix Workflow Commons y recomienda actualizar a la última versión.
Tenga en cuenta que la corrección podría afectar ligeramente a la funcionalidad del módulo en casos específicos.
CVE-2022-45937 -[CVSS:8.8]
Privilege Management Vulnerability in APOGEE/TALON Field Panels
Una vulnerabilidad en la gestión de privilegios en las series de productos APOGEE PXC y TALON TC podría permitir a atacantes autenticados con bajos privilegios obtener acceso con privilegios altos.
Siemens ha publicado actualizaciones para los productos afectados y recomienda actualizar a las últimas versiones.
Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades |
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
CVE-2022-43722
CVE-2022-46353
CVE-2022-45937
CVE-2022-43724
CVE-2022-45936
CVE-2022-46664
CVE-2022-46350
CVE-2022-43517
CVE-2022-41281
CVE-2022-41282
CVE-2022-41283
CVE-2022-41284
CVE-2022-41285
CVE-2022-41286
CVE-2022-46345
CVE-2022-46346
CVE-2022-46347
CVE-2022-46348
CVE-2022-46349
CVE-2022-3159
CVE-2022-3160
CVE-2022-3161
CVE-2022-30065
CVE-2022-34821
CVE-2022-43723
CVE-2022-3602
CVE-2022-3786
CVE-2022-46352
CVE-2022-46140
CVE-2022-46144
CVE-2022-46351
CVE-2022-46355
CVE-2022-32206
CVE-2022-44575
CVE-2022-46142
CVE-2022-46265
CVE-2022-44731
CVE-2022-45044
CVE-2022-32205
CVE-2022-41278
CVE-2022-41279
CVE-2022-41280
CVE-2022-41287
CVE-2022-41288
CVE-2022-45484
CVE-2022-46143
CVE-2022-46354
https://new.siemens.com/global/en/products... |