| Produkt | InterMesh 7177 Hybrid 2.0 Subscriber < V8.2.12 InterMesh 7707 Fire Subscriber < V7.2.12 |
| Numer CVE | CVE-2024-47901 |
| Krytyczność | 10/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| Opis | Serwer WWW dotkniętych urządzeń nie czyści parametrów wejściowych w określonych żądaniach GET, które umożliwiają wykonanie kodu na poziomie systemu operacyjnego. W połączeniu z innymi lukami (CVE-2024-47902, CVE-2024-47903, CVE-2024-47904) może to umożliwić niezweryfikowanemu zdalnemu atakującemu wykonanie dowolnego kodu z uprawnieniami roota. |
| Numer CVE | CVE-2024-47902 |
| Krytyczność | 7.2/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
| Opis | Serwer WWW dotkniętych urządzeń nie uwierzytelnia żądań GET, które wykonują określone polecenia (takie jak ping) na poziomie systemu operacyjnego. |
| Numer CVE | CVE-2024-47903 |
| Krytyczność | 5,8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N |
| Opis | Serwer WWW dotkniętych urządzeń pozwala na zapisywanie dowolnych plików w katalogu DocumentRoot serwera WWW. |
| Numer CVE | CVE-2024-47904 |
| Krytyczność | 7,8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Dotknięte urządzenia zawierają plik binarny SUID, który może umożliwić uwierzytelnionemu lokalnemu atakującemu wykonywanie dowolnych poleceń z uprawnieniami roota. |
| Aktualizacja | TAK |
| Link | https://cert-portal.siemens.com/productcert/html/ssa-333468.html?ste_sid=d894c398b14af484a3c5fd1961b99720 |
Firma Siemens informuje o krytycznej podatności w swoich produktach (P24-355)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny