1. Siemens

Produkt	SCALANCE SC600 Family: wszystkie wersje wcześniejsze niż 2.0 SIMATIC NET CM 1542-1: wszystkie wersje
Numer CVE	CVE-2019-3823
Krytyczność	7.8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis	Biblioteka libcurl w wersjach od 7.34.0 do 7.63.0 jest podatna na warunek odczytu sterty poza zakresem w kodzie obsługującym koniec odpowiedzi dla SMTP. Ta luka może pozwolić osobie atakującej na wywołanie stanu odmowy usługi na urządzeniach, których dotyczy luka.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-10

Produkt	Solid Edge SE2020: wszystkie wersje wcześniejsze niż SE2020MP13 Solid Edge SE2021: Wersje SE2021MP3 i wcześniejsze
Numer CVE	CVE-2020-28385
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Aplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików DFT. Może to spowodować zapis poza zakresem poza koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
Aktualizacja	TAK

Numer CVE	CVE-2020-28387
Krytyczność	5.6/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Podczas otwierania specjalnie spreparowanego pliku SEECTC XML aplikacja może ujawnić dowolne pliki zdalnym atakującym. Dzieje się tak z powodu przekazywania specjalnie spreparowanej zawartości do bazowego parsera XML bez stosowania odpowiednich ograniczeń, takich jak zakaz zewnętrznego dtd.
Aktualizacja	TAK

Numer CVE	CVE-2020-28380
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Aplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to spowodować zapis poza zakresem poza koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
Aktualizacja	TAK

Numer CVE	CVE-2020-28381
Krytyczność	7.8/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	Aplikacje, których dotyczy problem, nie sprawdzają poprawności danych dostarczonych przez użytkownika podczas analizowania plików PAR. Może to spowodować odczytanie poza zakresem poza koniec przydzielonej struktury. Osoba atakująca może wykorzystać tę lukę w celu wykonania kodu w kontekście bieżącego procesu.
Aktualizacja	TAK
link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-09

Produkt	PLUSCONTROL 1st Gen: wszystkie wersje
Numer CVE	CVE-2020-28388
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Opis	Początkowe numery sekwencyjne (ISN) dla połączeń TCP pochodzą z niewystarczająco losowego źródła. W rezultacie ISN obecnych i przyszłych połączeń TCP może być przewidywalny. Osoba atakująca może przejąć istniejące sesje lub sfałszować przyszłe.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-08

Produkt	Rodzina SIMATIC MV400: wszystkie wersje wcześniejsze niż 7.0.6
Numer CVE	CVE-2020-25241
Krytyczność	7.5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis	Podstawowy stos TCP produktów, których dotyczy problem, nie weryfikuje poprawnie numerów sekwencyjnych dla przychodzących pakietów TCP RST. Osoba atakująca może wykorzystać tę lukę, aby zakończyć dowolne sesje TCP.
Aktualizacja	TAK

Numer CVE	CVE-2020-27632
Krytyczność	7.5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Opis	Generator ISN jest inicjalizowany stałą wartością i ma stałe przyrosty. Osoba atakująca może wykorzystać tę lukę do przewidywania i przechwytywania sesji TCP.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-07

Produkt	LOGO! 8 BM (w tym warianty SIPLUS): Wszystkie wersje
Numer CVE	CVE-2020-25236
Krytyczność	6.5/10
CVSS	AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Opis	Logika sterowania (CL) LOGO! 8 może zostać zmanipulowane w taki sposób, aby spowodować, że urządzenie wykonujące CL nieprawidłowo obsłuży manipulację i awarię, skutkując stanem odmowy usługi. Następnie należy ręcznie zresetować urządzenie.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-05

Product	SINEMA Remote Connect Server: wszystkie wersje wcześniejsze niż 3.0
Numer CVE	CVE-2020-25239
Krytyczność	8.8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Serwer sieciowy może zezwalać na nieautoryzowane działania za pośrednictwem specjalnych adresów URL dla nieuprzywilejowanych użytkowników. Ustawienia serwera autoryzacji Unified Management Component (UMC) można zmienić, aby dodać fałszywy serwer przez osobę atakującą uwierzytelniającą się z nieuprzywilejowanymi prawami użytkownika.
Aktualizacja	TAK

Numer CVE	CVE-2020-25240
Krytyczność	6.3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Opis	Nieuprzywilejowani użytkownicy mogą uzyskać dostęp do usług podczas odgadywania adresu URL. Osoba atakująca może wpłynąć na dostępność, integralność i uzyskać informacje z dzienników i szablonów usługi.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-04

Product	RUGGEDCOM RM1224: Wszystkie wersje v4.3 i nowsze SCALANCE M-800: Wszystkie wersje v4.3 i nowsze SCALANCE S615: Wszystkie wersje v4.3 i nowsze SCALANCE SC-600 Family: Wszystkie wersje od v2.0 i starsze do v2.1.3 SCALANCE X300WG: wszystkie wersje wcześniejsze niż 4.1 SCALANCE XM400: Wszystkie wersje wcześniejsze niż 6.2 SCALANCE XR500: wszystkie wersje wcześniejsze niż 6.2 Rodzina SCALANCE Xx200: wszystkie wersje wcześniejsze niż 4.1
Numer CVE	CVE-2021-25667
Krytyczność	8.8/10
CVSS	AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A
Opis	Urządzenia, których dotyczy problem, zawierają lukę przepełnienia bufora opartą na stosie w obsłudze ramek jednostki danych protokołu mostu (BPDU) protokołu Spanning Tree Protocol (STP), która może umożliwić zdalnemu atakującemu wywołanie warunku typu „odmowa usługi” lub potencjalne zdalne wykonanie kodu. Pomyślna eksploatacja wymaga, aby funkcja pasywnego słuchania urządzenia była aktywna.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-03

Produkt	RUGGEDCOM RM1224: v6.3 SKALA M-800: v6.3 WAGA: S615: v6.3 SCALANCE SC-600: Wszystkie wersje od v2.1 i starsze do v2.1.3
Numer CVE	CVE-2021-25676
Krytyczność	8.6/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Opis	Urządzenia, których dotyczy problem, zawierają lukę przepełnienia bufora opartą na stosie w obsłudze ramek jednostki danych protokołu mostu (BPDU) protokołu Spanning Tree Protocol (STP), która może umożliwić zdalnemu atakującemu wywołanie warunku typu „odmowa usługi” lub potencjalne zdalne wykonanie kodu. Pomyślna eksploatacja wymaga, aby funkcja pasywnego słuchania urządzenia była aktywna.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-02

Product	SIMATIC S7-PLCSIM v5.4: Wszystkie wersje
Numer CVE	CVE-2021-25673
Krytyczność	5.5/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	Osoba atakująca z lokalnym dostępem do systemu może wywołać w aplikacji stan typu „odmowa usługi”, gdy zostanie ona użyta do otwarcia specjalnie spreparowanego pliku. W rezultacie aplikacja może wejść w nieskończoną pętlę, przestać odpowiadać i musi zostać ponownie uruchomiona, aby przywrócić usługę.
Aktualizacja	TAK

CVE	CVE-2021-25674
Numer CVE	5.5/10
Krytyczność	AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVSS	Osoba atakująca z lokalnym dostępem do systemu może wywołać w aplikacji stan typu „odmowa usługi”, gdy zostanie ona użyta do otwarcia specjalnie spreparowanego pliku. W rezultacie warunek rozpoznania wskaźnika o wartości NULL może spowodować nieoczekiwane zakończenie działania aplikacji i musi zostać ponownie uruchomiony w celu przywrócenia usługi.
Opis	TAK

Numer CVE	CVE-2021-25675
Krytyczność	5.5/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	Osoba atakująca z lokalnym dostępem do systemu może spowodować w aplikacji warunek odmowy usługi, gdy zostanie ona użyta do otwarcia specjalnie spreparowanego pliku. W rezultacie może wystąpić operacja dzielenia przez zero i spowodować nieoczekiwane zakończenie działania aplikacji i musi zostać ponownie uruchomiona, aby przywrócić usługę.
Aktualizacja	TAK
Link	https://us-cert.cisa.gov/ics/advisories/icsa-21-068-01