← voltar
CVE-2022-23450

CVE-2022-23450

EPSS 34.9%CWE-502
Em resumo

Uma falha no SIMATIC Energy Manager permite que atacantes enviem arquivos especialmente preparados que enganam o software para executar código malicioso com privilégios totais do sistema, sem precisar de senha.

Detalhe técnico

A vulnerabilidade resulta de desserialização insegura (CWE-502) de objetos serializados não confiáveis. Um atacante remoto não autenticado pode elaborar e transmitir um payload serializado malicioso para disparar execução de código arbitrário com privilégios de SYSTEM nas versões afetadas anteriores à V7.3 Update 1.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability has been identified in SIMATIC Energy Manager Basic (All versions < V7.3 Update 1), SIMATIC Energy Manager PRO (All versions < V7.3 Update 1). The affected system allows remote users to send maliciously crafted objects. Due to insecure deserialization of user-supplied content by the affected software, an unauthenticated attacker could exploit this vulnerability by sending a maliciously crafted serialized object. This could allow the attacker to execute arbitrary code on the device with SYSTEM privileges.
Produtos afetados
Siemens · SIMATIC Energy Manager BasicSiemens · SIMATIC Energy Manager PRO

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert-portal.siemens.com/productcert/pdf/ssa-655554.pdf