CVE-2020-15793

EPSS 0.7%CWE-1021

Em resumo

O Desigo Insight não bloqueia corretamente quando é carregado dentro de outro site, deixando-o vulnerável a ataques de clique-falsificado. Um invasor pode enganar você para clicar em um site falso que carrega a aplicação real invisível, roubando suas ações e dados.

Detalhe técnico

A aplicação não define o cabeçalho HTTP X-Frame-Options, permitindo que atacantes a incorporem em um iframe em um site malicioso. Isso habilita ataques de clickjacking onde um invasor não autenticado pode enganar usuários legítimos a realizarem ações indesejadas ou exposição de dados sensíveis através de técnicas de disfarce de interface.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A vulnerability has been identified in Desigo Insight (All versions). The device does not properly set the X-Frame-Options HTTP Header which makes it vulnerable to Clickjacking attacks. This could allow an unauthenticated attacker to retrieve or modify data in the context of a legitimate user by tricking that user to click on a website controlled by the attacker.

Produtos afetados

Siemens · Desigo Insight

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://cert-portal.siemens.com/productcert/pdf/ssa-226339.pdf https://us-cert.cisa.gov/ics/advisories/icsa-20-287-05