Simatic Hmi Comfort Panels
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.05176
Распределение по критичности
Критический
3
Высокий
7
Средний
9
Низкий
0
Затронутые диапазоны версий
< 15.1
Также сопоставлено как (исходные строки): simatic_hmi_comfort_panels_firmware,simatic hmi comfort panels,simatic_hmi_comfort_panels,wincc
Топ уязвимостей
CVE-2020-15798В SIMATIC HMI Comfort Panels (включая варианты SIPLUS) (все версии < V16 Update 3a), SIMATIC HMI KTP Mobile Panels (все версии < V16 Update 3a), SINAMICS GH150 (все версии), SINAMICS GL150 (с опцией X30) (все версии), SINAMICS GM150 (с опцией X30) (все версии), SINAMICS SH150 (все версии), SINAMICS SL150 (все версии), SINAMICS SM120 (все версии), SINAMICS SM150 (все версии), SINAMICS SM150i (все версии) обнаружена уязвимость. Затронутые устройства с включенной службой telnet не требуют аутентификации для этой службы. Это может позволить удаленному злоумышленнику получить полный доступ к устройству. (ZDI-CAN-12046)
CVE-2020-15786Была выявлена уязвимость в SIMATIC HMI Basic Panels 2nd Generation (включая варианты SIPLUS) (Все версии < V16), SIMATIC HMI Comfort Panels (включая варианты SIPLUS) (Все версии <= V16), SIMATIC HMI Mobile Panels (Все версии <= V16), SIMATIC HMI Unified Comfort Panels (Все версии <= V16). Затронутые устройства недостаточно блокируют чрезмерные попытки аутентификации. Это может позволить удаленному злоумышленнику обнаружить пароли пользователей и получить доступ к Sm@rt Server посредством атаки грубой силы.
CVE-2019-6572Уязвимость была выявлена в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 und KTP900F (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Advanced (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Professional (все версии < V15.1 Update 1), SIMATIC WinCC (TIA Portal) (все версии < V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Уязвимое устройство предлагало возможности чтения и записи SNMP с общеизвестной жестко закодированной строкой сообщества. Уязвимость безопасности может быть использована злоумышленником, имеющим сетевой доступ к уязвимому устройству. Для успешной эксплуатации не требуется никаких системных привилегий и взаимодействия с пользователем. Злоумышленник может использовать эту уязвимость для нарушения конфиденциальности и целостности уязвимой системы. На момент публикации этого сообщения об уязвимости не было известно ни об одной публичной эксплуатации этой уязвимости безопасности.
CVE-2018-13814Выявлена уязвимость в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V14), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V14), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 и KTP900F (все версии < V14), SIMATIC WinCC Runtime Advanced (все версии < V14), SIMATIC WinCC Runtime Professional (все версии < V14), SIMATIC WinCC (TIA Portal) (все версии < V14), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Встроенный веб-сервер (порт 80/tcp и порт 443/tcp) уязвимых устройств может позволить злоумышленнику внедрять HTTP-заголовки. Злоумышленник должен обманом заставить действительного пользователя, прошедшего аутентификацию на устройстве, перейти по вредоносной ссылке, чтобы использовать уязвимость. На момент публикации консультации об общедоступной эксплуатации этой уязвимости безопасности ничего не было известно.
CVE-2018-13813Выявлена уязвимость в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V15 Update 4), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V15 Update 4), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 и KTP900F (все версии < V15 Update 4), SIMATIC WinCC Runtime Advanced (все версии < V15 Update 4), SIMATIC WinCC Runtime Professional (все версии < V15 Update 4), SIMATIC WinCC (TIA Portal) (все версии < V15 Update 4), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Веб-сервер уязвимых устройств HMI может разрешать перенаправление URL-адресов на ненадежные веб-сайты. Злоумышленник должен обманом заставить действительного пользователя, прошедшего аутентификацию на устройстве, перейти по вредоносной ссылке, чтобы использовать уязвимость. На момент публикации консультации об общедоступной эксплуатации этой уязвимости безопасности ничего не было известно.
CVE-2022-40227Выявлена уязвимость в SIMATIC HMI Comfort Panels (включая варианты SIPLUS) (все версии < V17 Update 4), SIMATIC HMI KTP Mobile Panels (все версии < V17 Update 4), SIMATIC HMI KTP1200 Basic (все версии < V17 Update 5), SIMATIC HMI KTP400 Basic (все версии < V17 Update 5), SIMATIC HMI KTP700 Basic (все версии < V17 Update 5), SIMATIC HMI KTP900 Basic (все версии < V17 Update 5), SIPLUS HMI KTP1200 BASIC (все версии < V17 Update 5), SIPLUS HMI KTP400 BASIC (все версии < V17 Update 5), SIPLUS HMI KTP700 BASIC (все версии < V17 Update 5), SIPLUS HMI KTP900 BASIC (все версии < V17 Update 5). Затронутые устройства неправильно проверяют входные данные, отправленные в определенные службы по TCP. Это может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать состояние постоянного отказа в обслуживании (требующее перезагрузки устройства), отправив специально созданные TCP-пакеты.
CVE-2019-6568Веб-сервер уязвимых устройств содержит уязвимость, которая может привести к отказу в обслуживании. Злоумышленник может вызвать отказ в обслуживании, что приведет к перезапуску веб-сервера уязвимого устройства.
Уязвимость безопасности может быть использована злоумышленником, имеющим сетевой доступ к уязвимым системам. Для успешной эксплуатации не требуется никаких системных привилегий и взаимодействия с пользователем. Злоумышленник может использовать эту уязвимость для нарушения доступности устройства.
CVE-2018-13812Выявлена уязвимость в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V15 Update 4), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V15 Update 4), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 и KTP900F (все версии < V15 Update 4), SIMATIC WinCC Runtime Advanced (все версии < V15 Update 4), SIMATIC WinCC Runtime Professional (все версии < V15 Update 4), SIMATIC WinCC (TIA Portal) (все версии < V15 Update 4), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Уязвимость обхода каталогов может позволить загружать произвольные файлы с устройства. Уязвимость безопасности может быть использована злоумышленником, имеющим сетевой доступ к встроенному веб-серверу. Для эксплуатации уязвимости не требуется взаимодействие с пользователем и аутентификация. Уязвимость влияет на конфиденциальность устройства. На момент публикации консультации об общедоступной эксплуатации этой уязвимости безопасности ничего не было известно.
CVE-2017-2681Специально созданные пакеты PROFINET DCP, отправленные в локальном сегменте Ethernet (уровень 2) на затронутый продукт, могут вызвать состояние отказа в обслуживании этого продукта. Для восстановления системы требуется вмешательство человека. Интерфейсы PROFIBUS не затрагиваются.
CVE-2017-2680Специально созданные широковещательные пакеты PROFINET DCP могут вызвать состояние отказа в обслуживании затронутых продуктов в локальном сегменте Ethernet (уровень 2). Для восстановления систем требуется вмешательство человека. Интерфейсы PROFIBUS не затрагиваются.
CVE-2015-2823Siemens SIMATIC HMI Basic Panels 2nd Generation до WinCC (TIA Portal) 13 SP1 Upd2, SIMATIC HMI Comfort Panels до WinCC (TIA Portal) 13 SP1 Upd2, SIMATIC WinCC Runtime Advanced до WinCC (TIA Portal) 13 SP1 Upd2, SIMATIC WinCC Runtime Professional до WinCC (TIA Portal) 13 SP1 Upd2, SIMATIC HMI Basic Panels 1st Generation (WinCC TIA Portal), SIMATIC HMI Mobile Panel 277 (WinCC TIA Portal), SIMATIC HMI Multi Panels (WinCC TIA Portal) и SIMATIC WinCC 7.x до 7.3 Upd4 позволяют удаленным злоумышленникам завершить аутентификацию, используя знание хеша пароля без знания связанного пароля.
CVE-2020-7592В SIMATIC HMI Basic Panels 1st Generation (включая варианты SIPLUS) (все версии), SIMATIC HMI Basic Panels 2nd Generation (включая варианты SIPLUS) (все версии), SIMATIC HMI Comfort Panels (включая варианты SIPLUS) (все версии), SIMATIC HMI KTP700F Mobile Arctic (все версии), SIMATIC HMI Mobile Panels 2nd Generation (все версии), SIMATIC WinCC Runtime Advanced (все версии) была выявлена уязвимость. Незашифрованная связь между программным обеспечением конфигурации и соответствующим устройством может позволить злоумышленнику перехватить потенциальную связь в виде обычного текста и получить доступ к конфиденциальной информации.
CVE-2019-6576Уязвимость была выявлена в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 und KTP900F (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Advanced (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Professional (все версии < V15.1 Update 1), SIMATIC WinCC (TIA Portal) (все версии < V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Злоумышленник, имеющий сетевой доступ к уязвимым устройствам, может получить ключ сеанса TLS. Если злоумышленник сможет наблюдать трафик TLS между законным пользователем и устройством, то он сможет расшифровать трафик TLS. Уязвимость безопасности может быть использована злоумышленником, имеющим сетевой доступ к веб-интерфейсу устройства и способным наблюдать трафик TLS между законными пользователями и веб-интерфейсом уязвимого устройства. Уязвимость может повлиять на конфиденциальность связи между уязвимым устройством и законным пользователем. На момент публикации этого сообщения об уязвимости не было известно ни об одной публичной эксплуатации этой уязвимости безопасности.
BDU:2019-00516Уязвимость программного обеспечения PROFINET DCP Siemens связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании в локальном сегменте Ethernet с помощью специально подготовленных пакетов PROFINET DCP
BDU:2019-00515Уязвимость программного обеспечения PROFINET DCP Siemens связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании в локальном сегменте Ethernet с помощью специально подготовленных широковещательных пакетов PROFINET DCP
BDU:2024-09114Уязвимость веб-сервера микропрограммного обеспечения коммуникационных модулей SIMATIC CP, TIM 1531 IRC связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
BDU:2024-08338Уязвимость веб-сервера микропрограммного обеспечения устройств SIMATIC CP, SIMATIC HMI, SIMATIC IPC, SIMATIC WinCC Runtime Advanced DiagBase, SIPLUS TIM связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании в системе путем манипулирования полем заголовка Expect HTTP запроса
CVE-2019-6577Уязвимость была выявлена в SIMATIC HMI Comfort Panels 4" - 22" (все версии < V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (все версии < V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 und KTP900F (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Advanced (все версии < V15.1 Update 1), SIMATIC WinCC Runtime Professional (все версии < V15.1 Update 1), SIMATIC WinCC (TIA Portal) (все версии < V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (все версии). Интегрированный веб-сервер может допускать атаки межсайтового скриптинга (XSS), если злоумышленник сможет изменить определенные части конфигурации устройства через SNMP. Уязвимость безопасности может быть использована злоумышленником, имеющим сетевой доступ к уязвимой системе. Для успешной эксплуатации требуются системные привилегии и взаимодействие с пользователем. Злоумышленник может использовать эту уязвимость для нарушения конфиденциальности и целостности уязвимой системы. На этапе публикации этого сообщения об уязвимости безопасности не известно ни об одной публичной эксплуатации.
CVE-2019-19276Уязвимость была выявлена в SIMATIC HMI Comfort Panels 1st Generation (включая варианты SIPLUS) (все версии < V16 Update 4), SIMATIC HMI KTP Mobile Panels (все версии < V16 Update 4). Специально созданные пакеты, отправленные на порт 161/udp, могут привести к сбою службы SNMP на затронутых устройствах. Для возобновления работы службы требуется ручной перезапуск устройства.