【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450)

admin 2022年4月23日02:50:56安全漏洞评论8 views713字阅读2分22秒阅读模式

 01



漏洞描述





SIMATIC Energy Manager 是面向工业领域的能源管理系统,根据 ISO 50001 进行了认证 借助于 SIMATIC Energy Manager,可以详细显示生产过程中的能量流和能耗值,将它们分配给相关耗电设备或成本中心,并识别已发生的变化。
在 SIMATIC Energy Manager Basic(所有版本 < V7.3Update 1)、SIMATIC Energy Manager PRO(所有版本 < V7.3Update 1)中存在反序列化漏洞,攻击者可利用该漏洞在具有SYSTEM权限的设备上执行任意代码。


 02

漏洞危害


   
在 SIMATIC Energy Manager Basic(所有版本 < V7.3 Update 1)、SIMATIC EnergyManager PRO(所有版本 < V7.3 Update 1)中发现了一个漏洞。受影响的系统允许远程用户发送恶意制作的对象。由于受影响软件对用户提供的内容的反序列化不安全,未经身份验证的攻击者可以通过发送恶意制作的序列化对象来利用此漏洞。这可能允许攻击者在具有 SYSTEM 权限的设备上执行任意代码。


 03

影响范围






S
iemensSIMATIC Energy Manager Basic <7.3 Update 1

Siemens SIMATIC Energy Manager PRO <7.3 Update 1

04

漏洞等级

   

   高危


 05

修复方案


厂商已发布了漏洞修复程序,请及时关注更新:
https://www.siemens.com










END

长按识别二维码,了解更多


【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:50:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450) http://cn-sec.com/archives/916631.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: