Inicio / Alerta Temprana / Vulnerabilidades / CVE-2019-10935

Vulnerabilidad en SIMATIC PCS, SIMATIC WinCC Professional, SIMATIC WinCC Runtime Professional (CVE-2019-10935)

Tipo: 
Subida sin restricciones de ficheros de tipos peligrosos
Gravedad: 
Media
Fecha publicación : 
11/07/2019
Última modificación: 
10/10/2019
Descripción
Se ha identificado una vulnerabilidad en SIMATIC PCS 7 versión V8.0 y versiones anteriores (Todas las versiones), SIMATIC PCS 7 versión V8.1 (Todas las versiones anteriores a la V8.1 con WinCC V7.3 Upd 19), SIMATIC PCS 7 versión V8.2 (Todas las versiones anteriores a la V8.2 SP1 con WinCC versión V7.4 SP1 Upd 11), SIMATIC PCS 7 versión V9.0 (Todas las versiones anteriores a la V9.0 SP2 con WinCC versión V7.4 SP1 Upd11), SIMATIC WinCC Professional (TIA Portal versión V13) (Todas las versiones), SIMATIC WinCC Professional (TIA Portal versión V14) (Todas las versiones), SIMATIC WinCC Professional (TIA Portal versión V15) (Todas las versiones), SIMATIC WinCC Runtime Professional versión V13 (Todas las versiones), SIMATIC WinCC Runtime Professional versión V14 (Todas las versiones anteriores a la V14 SP1 Upd 8), SIMATIC WinCC Runtime Professional versión V15 (Todas las versiones anteriores a la V15.1 Upd 3), SIMATIC WinCC V7.2 y versiones anteriores (Todas las versiones), SIMATIC WinCC versión V7.3 (Todas las versiones anteriores a la V7.3 Upd 19), SIMATIC WinCC versión V7.4 (Todas las versiones anteriores a la V7.4 SP1 Upd 11), SIMATIC WinCC V7.5 (Todas las versiones anteriores a la V7.5 Upd 3). La aplicación web SIMATIC WinCC DataMonitor de los productos afectados permite cargar código ASPX arbitrario. La vulnerabilidad de la seguridad podría ser explotada por un atacante autenticado con acceso de red a la aplicación WinCC DataMonitor. No se requiere interacción del usuario para explotar esta vulnerabilidad. La vulnerabilidad afecta la confidencialidad, integridad y disponibilidad del dispositivo afectado. En la etapa de publicación de este aviso de seguridad no se conoce ninguna explotación pública.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:siemens:simatic_wincc_runtime:15:update_4:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:15:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:15.1:update_1:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:15.1:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:14:sp1:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:14:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:13:sp2:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:13:sp1:update_9:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:13:sp1:update_2:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:13:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc_runtime:13:*:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.5:*:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.4:update_1:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.4:sp1:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.4:-:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:update_4:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:update_1:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:update_13:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:update_11:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:update_10:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:7.3:-:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:15:*:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:14:sp1:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:14:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:14:*:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:13:sp2:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:13:-:*:*:professional:*:*:*
  • cpe:2.3:a:siemens:simatic_wincc:*:*:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_pcs_7:9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_pcs_7:8.2:*:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_pcs_7:8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:siemens:simatic_pcs_7:8.0:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos