Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos Siemens, que permitirían a un atacante realizar inyección de comandos, ataques cross-site scripting (XSS), ejecución remota de código (RCE), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 9 (nueve) de severidad “Alta” y 6 (seis) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-45092, de severidad “crítica” y con puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla de seguridad en la herramienta de software SINEC INS (Infrastructure Network Services). Un atacante remoto autenticado con acceso a la administración web (puerto 443/tcp) podría leer y escribir archivos arbitrarios, y así realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-46823, de severidad “crítica” y con puntuación asignada de 9.3. Esta vulnerabilidad se debe a falla de validación de entradas en el módulo SAML de Mendix. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) para obtener información confidencial, engañando a las víctimas a través de un enlace malicioso especialmente diseñado.
- CVE-2022-47967, de severidad “alta” y con puntuación asignada de 7.8. Esta vulnerabilidad se debe a falla de seguridad en el procesamiento de archivos en Solid Edge. Un atacante podría provocar corrupción de memoria y así realizar ejecución de código a través del procesamiento de archivos maliciosos en diferentes formatos, como PAR, ASM, DFT.
Para visualizar la lista detallada de las vulnerabilidades, ingresar al siguiente enlace.
Las versiones afectadas son:
- Solid Mendix SAML (Mendix 8 compatible), versiones a partir de 2.3.0 y anteriores a V2.3.4
- Mendix SAML (Mendix 9 compatible, New Track), versiones a partir de 3.3.0 y anteriores a V3.3.9
- Mendix SAML (Mendix 9 compatible, Upgrade Track), versiones a partir de 3.3.0 y anteriores a V3.3.8
- SINEC INS, todas las versiones previas a V1.0 SP2 Actualización 1.
Puede acceder al listado completo de productos afectados aquí
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias: