Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- TIA Portal V15, V16 et V17
- TIA Portal V18 versions antérieures à V18 Update 1
- CP-8031 MASTER MODULE (6MF2803-1AA00) et CP-8050 MASTER MODULE (6MF2805-0AA00) versions antérieures à CPCI85 V05
- SCALANCE XCM332 (6GK5332-0GA01-2AC2) versions antérieures à V2.2
- Solid Edge SE2023 avec KeyShot 11 versions antérieures à V2023.1
- SIMATIC CP 343-1 Advanced versions antérieures à V3.0.53
- SIMATIC CP 443-1 Advanced versions antérieures à V3.2.17
- SIMATIC S7-300 CPU family versions antérieures à V3.X.18
- SIMATIC S7-400 PN/DP CPU family
- JT2Go versions antérieures à V14.2.0.2
- Teamcenter Visualization V13.2 versions antérieures à V13.2.0.13
- Teamcenter Visualization V13.3 versions antérieures à V13.3.0.9
- Teamcenter Visualization V14.0 versions antérieures à V14.0.0.5
- Teamcenter Visualization V14.1 versions antérieures à V14.1.0.7
- Teamcenter Visualization V14.2 versions antérieures à V14.2.0.2
- Polarion ALM versions antérieures à V2304.0
- JT Open versions antérieures à V11.3.2.0
- JT Utilities versions antérieures à V13.3.0.0
- OpenPCS 7 V9.1
- TeleControl Server Basic V3
- Mendix Forgot Password (Mendix 7 compatible) versions antérieures à V3.7.1
- Mendix Forgot Password (Mendix 8 compatible) versions antérieures à V4.1.1
- Mendix Forgot Password (Mendix 9 compatible) versions antérieures à V5.1.1
- De nombreuses références SIPROTEC, SCALANCE, SIMATIC et SIPLUS, se référer aux bulletins de sécurité de l'éditeur pour la liste complète
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Siemens ssa-116924 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-116924.html - Bulletin de sécurité Siemens ssa-322980 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-322980.html - Bulletin de sécurité Siemens ssa-472454 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-472454.html - Bulletin de sécurité Siemens ssa-479249 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-479249.html - Bulletin de sécurité Siemens ssa-511182 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-511182.html - Bulletin de sécurité Siemens ssa-558014 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-558014.html - Bulletin de sécurité Siemens ssa-566905 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-566905.html - Bulletin de sécurité Siemens ssa-572164 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-572164.html - Bulletin de sécurité Siemens ssa-603476 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-603476.html - Bulletin de sécurité Siemens ssa-629917 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-629917.html - Bulletin de sécurité Siemens ssa-632164 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-632164.html - Bulletin de sécurité Siemens ssa-642810 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-642810.html - Bulletin de sécurité Siemens ssa-691715 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-691715.html - Bulletin de sécurité Siemens ssa-699404 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-699404.html - Bulletin de sécurité Siemens ssa-813746 du 11 avril 2023
https://cert-portal.siemens.com/productcert/html/ssa-813746.html - Référence CVE CVE-2023-26293
https://www.cve.org/CVERecord?id=CVE-2023-26293 - Référence CVE CVE-2023-28766
https://www.cve.org/CVERecord?id=CVE-2023-28766 - Référence CVE CVE-2023-28489
https://www.cve.org/CVERecord?id=CVE-2023-28489 - Référence CVE CVE-2023-29054
https://www.cve.org/CVERecord?id=CVE-2023-29054 - Référence CVE CVE-2023-23588
https://www.cve.org/CVERecord?id=CVE-2023-23588 - Référence CVE CVE-2021-46828
https://www.cve.org/CVERecord?id=CVE-2021-46828 - Référence CVE CVE-2022-1652
https://www.cve.org/CVERecord?id=CVE-2022-1652 - Référence CVE CVE-2022-1729
https://www.cve.org/CVERecord?id=CVE-2022-1729 - Référence CVE CVE-2022-30065
https://www.cve.org/CVERecord?id=CVE-2022-30065 - Référence CVE CVE-2022-32205
https://www.cve.org/CVERecord?id=CVE-2022-32205 - Référence CVE CVE-2022-32206
https://www.cve.org/CVERecord?id=CVE-2022-32206 - Référence CVE CVE-2022-32207
https://www.cve.org/CVERecord?id=CVE-2022-32207 - Référence CVE CVE-2022-32208
https://www.cve.org/CVERecord?id=CVE-2022-32208 - Référence CVE CVE-2022-35252
https://www.cve.org/CVERecord?id=CVE-2022-35252 - Référence CVE CVE-2022-40674
https://www.cve.org/CVERecord?id=CVE-2022-40674 - Référence CVE CVE-2022-43716
https://www.cve.org/CVERecord?id=CVE-2022-43716 - Référence CVE CVE-2022-43767
https://www.cve.org/CVERecord?id=CVE-2022-43767 - Référence CVE CVE-2022-43768
https://www.cve.org/CVERecord?id=CVE-2022-43768 - Référence CVE CVE-2021-27044
https://www.cve.org/CVERecord?id=CVE-2021-27044 - Référence CVE CVE-2016-8672
https://www.cve.org/CVERecord?id=CVE-2016-8672 - Référence CVE CVE-2016-8673
https://www.cve.org/CVERecord?id=CVE-2016-8673 - Référence CVE CVE-2023-1709
https://www.cve.org/CVERecord?id=CVE-2023-1709 - Référence CVE CVE-2023-28828
https://www.cve.org/CVERecord?id=CVE-2023-28828 - Référence CVE CVE-2023-29053
https://www.cve.org/CVERecord?id=CVE-2023-29053 - Référence CVE CVE-2022-44725
https://www.cve.org/CVERecord?id=CVE-2022-44725 - Référence CVE CVE-2023-27464
https://www.cve.org/CVERecord?id=CVE-2023-27464 - Référence CVE CVE-2020-28895
https://www.cve.org/CVERecord?id=CVE-2020-28895 - Référence CVE CVE-2020-35198
https://www.cve.org/CVERecord?id=CVE-2020-35198