CVE-2022-24039— Siemens Desigo PXC4 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2022-24039の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
N/A
ソース: NVD (National Vulnerability Database)
脆弱性説明
A vulnerability has been identified in Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The “addCell” JavaScript function fails to properly sanitize user-controllable input before including it into the generated XML body of the XLS report document, such that it is possible to inject arbitrary content (e.g., XML tags) into the generated file. An attacker with restricted privileges, by poisoning any of the content used to generate XLS reports, could be able to leverage the application to deliver malicious files against higher-privileged users and obtain Remote Code Execution (RCE) against the administrator’s workstation.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Siemens Desigo PXC4 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Siemens Desigo PXC4是德国西门子(Siemens)公司的一个楼宇自动化和控制产品。 Siemens Desigo PXC4 V02.20.142.10-10884之前版本和Desigo PXC5 V02.20.142.10-10884之前版本存在安全漏洞,该漏洞源于 addCell 函数在使用用户输入的信息生成 XLS 报告文档的 XML 正文之前没有对信息进行清理,因此可以将任意内容(例如 XML 标记)注入到生成的文件中。权限受限的攻击者可以利用该漏洞针对更高权限的用户传送恶意文件,
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Siemens | Desigo PXC4 | All versions < V02.20.142.10-10884 | - | |
| Siemens | Desigo PXC5 | All versions < V02.20.142.10-10884 | - |
II. CVE-2022-24039の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2022-24039のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · Siemens · 2022-05-10 · 31 CVEs total
| CVE-2022-29873 | 9.8 CRITICAL | Siemens SICAM 安全漏洞 |
| CVE-2022-29872 | 8.8 HIGH | Siemens SICAM 输入验证错误漏洞 |
| CVE-2022-29874 | 8.8 HIGH | Siemens SICAM 安全漏洞 |
| CVE-2022-24287 | 7.8 HIGH | Siemens SIMATIC 安全漏洞 |
| CVE-2022-29878 | 7.5 HIGH | Siemens SICAM 安全漏洞 |
| CVE-2022-29882 | 7.1 HIGH | Siemens SICAM 跨站脚本漏洞 |
| CVE-2022-29876 | 7.1 HIGH | Siemens SICAM 跨站脚本漏洞 |
| CVE-2022-29880 | 6.5 MEDIUM | Siemens SICAM 跨站脚本漏洞 |
| CVE-2022-29883 | 5.3 MEDIUM | Siemens SICAM 访问控制错误漏洞 |
| CVE-2022-29881 | 5.3 MEDIUM | Siemens SICAM 访问控制错误漏洞 |
| CVE-2022-29879 | 4.3 MEDIUM | Siemens SICAM 访问控制错误漏洞 |
| CVE-2022-24040 | 多款Siemens产品资源管理错误漏洞 | |
| CVE-2022-24041 | 多款Siemens产品安全漏洞 | |
| CVE-2022-24042 | 多款Siemens产品代码问题漏洞 | |
| CVE-2022-24043 | 多款Siemens产品安全漏洞 | |
| CVE-2022-24044 | 多款Siemens产品安全漏洞 | |
| CVE-2022-24045 | 多款Siemens产品安全漏洞 | |
| CVE-2021-41545 | 多款Siemens产品安全漏洞 | |
| CVE-2022-24290 | Siemens Teamcenter 缓冲区错误漏洞 | |
| CVE-2022-27242 | OpenV2G 安全漏洞 |
Showing 20 of 31 CVEs. View all on vendor page →
IV. 関連脆弱性
同じ弱点: CWE-75
- CVE-2026-31908
Apache APISIX: forward auth plugin allows header injection - CVE-2026-29042
Nuclio Shell Runtime Command Injection Leading to Privilege - CVE-2026-27120
Leaf-kit html escaping does not work on characters that are - CVE-2025-61911
python-ldap has sanitization bypass in ldap.filter.escape_fi - CVE-2025-50213
Apache Airflow Providers Snowflake: Potential SQL injection
V. CVE-2022-24039へのコメント
まだコメントはありません