Siemens SCALANCE X-200系列交换机会话劫持漏洞

CVE编号

CVE-2013-5709

利用情况

暂无

补丁情况

N/A

披露时间

2013-09-18
漏洞描述
Siemens Scalance X200是西门子公司发布的工业以太网交换机。

Siemens SCALANCE X-200系列交换机随机数生成器存在一个错误,允许远程攻击者利用漏洞劫持WEB会话,可未授权访问应用设备。
解决建议
Siemens Scalance X-200 Series Switches 5.0.0已经修改该漏洞,建议用户下载更新:
http://www.automation.siemens.com/mcms/industrial-communication/en/ie/ie_switches_media-converters/scalance-x-200-managed/pages/scalance-x-200-managed.aspx
参考链接
http://ics-cert.us-cert.gov/advisories/ICSA-13-254-01
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_...
https://cert-portal.siemens.com/productcert/pdf/ssa-850708.pdf
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 siemens scalance_x-200_series_firmware * Up to
(including)
4.4
运行在以下环境
系统 siemens scalance_x-200_series_firmware 4.3 -
运行在以下环境
硬件 siemens scalance_x-200 - -
运行在以下环境
硬件 siemens scalance_x-200rna - -
运行在以下环境
硬件 siemens scalance_x200-4p_irt - -
运行在以下环境
硬件 siemens scalance_x201-3p_irt - -
运行在以下环境
硬件 siemens scalance_x202-2irt - -
运行在以下环境
硬件 siemens scalance_x202-2p_irt - -
运行在以下环境
硬件 siemens scalance_x204irt - -
运行在以下环境
硬件 siemens scalance_xf-200 - -
CVSS3评分
8.3
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    完全地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:M/Au:N/C:P/I:P/A:C
CWE-ID 漏洞类型
CWE-189 数值错误
阿里云安全产品覆盖情况