CVE-2022-33139
CVE-2022-33139
Em resumo
Alguns softwares como Cerberus DMS, Desigo CC e SIMATIC WinCC OA usam apenas autenticação no cliente quando opções de segurança mais robustas estão desabilitadas, permitindo que atacantes se passem por outros usuários ou contornem a autenticação.
Detalhe técnico
CWE-603: Autenticação Apenas no Cliente. Quando autenticação no servidor (SSA) e Kerberos estão desabilitados, as aplicações afetadas autenticam usuários somente no lado do cliente, permitindo que atacantes falsifiquem credenciais ou manipulem o protocolo cliente-servidor para assumir identidades arbitrárias sem credenciais válidas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability has been identified in Cerberus DMS (All versions), Desigo CC (All versions), Desigo CC Compact (All versions), SIMATIC WinCC OA V3.16 (All versions in default configuration), SIMATIC WinCC OA V3.17 (All versions in non-default configuration), SIMATIC WinCC OA V3.18 (All versions in non-default configuration). Affected applications use client-side only authentication, when neither server-side authentication (SSA) nor Kerberos authentication is enabled. In this configuration, attackers could impersonate other users or exploit the client-server protocol without being authenticated.
Produtos afetados
Siemens · Cerberus DMSSiemens · Desigo CCSiemens · Desigo CC CompactSiemens · SIMATIC WinCC OA V3.16Siemens · SIMATIC WinCC OA V3.17Siemens · SIMATIC WinCC OA V3.18Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →