Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • Mendix Forgot Password Appstore module versions 3.2.x antérieures à 3.2.2
  • Mendix Forgot Password Appstore module versions 3.3.x à 3.5.x antérieures à 3.5.1
  • Mendix Applications utilisant Mendix versions 7.x antérieures à 7.23.29
  • Mendix Applications utilisant Mendix versions 8.x antérieures à 8.18.16
  • COMOS versions antérieures à 10.4.1
  • Simcenter STAR-CCM+ Viewer versions antérieures à V2022.1
  • SIMOTICS CONNECT 400 versions antérieures à 1.0.0.0
  • Climatix POL909 (module AWB) versions antérieures à 11.44
  • Climatix POL909 (module AWM) versions antérieures à 11.36
  • RUGGEDCOM ROS M2100, RMC8388, RS416v2, RS900G, RS900G (32M), RSG900, RSG920P, RSG2100 (32M), RSG2100P, RSG2100P (32M), RSG2288, RSG2300, RSG2300P, RSG2488, RSL910, RST916C, RST916P et RST2228 versions antérieures à 5.6.0
  • SINUMERIK MC versions antérieures à 1.15 SP1
  • SINUMERIK ONE versions antérieures à 6.15 SP1
  • SINEC INS versions antérieures à 1.0.1.1
  • RUGGEDCOM ROX MX5000, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536 et RX5000 versions antérieures à 2.15.0
  • Polarion Subversion Webclient versions antérieures à 21 R2 P2
  • RUGGEDCOM ROS i800, i801, i802, i803, M969, M2100, M2200, RMC, RMC20, RMC30, RMC40, RMC41, RMC8388, RP110, RS400, RS401, RS416, RS416v2, RS900 (32M), RS900G, RS900G (32M), RS900GP, RS900L, RS900L, RS900W, RS910, RS910L, RS910W, RS920L, RS920W, RS930L, RS930W, RS940G, RS969, RS8000, RS8000A, RS8000H, RS8000T, RSG900, RSG900C, RSG900G, RSG900R, RSG907R, RSG908C, RSG909R, RSG910C, RSG920P, RSG2100, RSG2100 (32M), RSG2100P, RSG2100P (32M), RSG2200, RSG2288, RSG2300, RSG2300P, RSG2488, RSL910, RST916C, RST916P et RST2228 versions antérieures à 5.6.0

L'éditeur ne propose pas de correctif pour :

  • Mendix Applications utilisant Mendix versions 9
  • SINEC NMS toutes versions

Se référer aux mesures de contournement proposées dans la section Documentation.

 

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation