Уязвимость функции AddCell веб-сервера микропрограммного обеспечения модулей станций автоматизации помещений Desigo PXC4 и PXC5 связана с ошибками при нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем внедрения специально сформированного XML в файл отчёта XLS
BDU:2022-03006
CVE-2022-24039
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
использование входных данных только из доверенных источников;
- использование средств межсетевого экранирования уровня приложений с целью ограничения доступа к устройству;
- сегментирование сети с целью предотвращения несанкционированного доступа к промышленному оборудованию;
- ограничение доступа к устройству из общедоступных сетей (Интернет).
Информация от разработчика:
https://cert-portal.siemens.com/productcert/pdf/ssa-626968.pdf
BDU:2022-03006
CVE-2022-24039
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
использование входных данных только из доверенных источников;
- использование средств межсетевого экранирования уровня приложений с целью ограничения доступа к устройству;
- сегментирование сети с целью предотвращения несанкционированного доступа к промышленному оборудованию;
- ограничение доступа к устройству из общедоступных сетей (Интернет).
Информация от разработчика:
https://cert-portal.siemens.com/productcert/pdf/ssa-626968.pdf