关键信息 漏洞描述 漏洞编号: SSA-054046 漏洞类型: Unauthenticated Information Disclosure in Web Server of SIMATIC S7-1500 CPUs 受影响产品: SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) 受影响版本: V1.0 CVSS v3.1 Base Score: 5.3 CVSS v4.0 Base Score: 6.9 影响范围 受影响产品: SIMATIC Drive Controller family, SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants), SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants), SIMATIC S7-1500 Software Controller, SIMATIC S7-PLCSIM Advanced 受影响版本: All versions affected by CVE-2024-46887 解决方案 受影响产品和版本: SIMATIC Drive Controller family 修复建议: Update to V3.1.4 or later version 受影响产品和版本: SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) 修复建议: Currently no fix is available 受影响产品和版本: SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) 修复建议: Open for details 受影响产品和版本: SIMATIC S7-1500 Software Controller 修复建议: Currently no fix is available 受影响产品和版本: SIMATIC S7-PLCSIM Advanced 修复建议: Currently no fix is available 工作绕过和缓解措施 工作绕过和缓解措施: 可以在受影响产品的“受影响产品和解决方案”部分找到特定产品的缓解措施或工作绕过。 通用安全建议 通用安全建议: 作为通用安全措施,建议配置环境以保护网络访问,并遵循工业安全操作指南。 产品描述 产品描述: SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) 漏洞描述 漏洞描述: 影响设备的web服务器未正确验证用户对“/ClientArea/RuntimeInfoData.mwsl”端点的请求。这可能允许未经授权的远程攻击者获取当前实际和配置的最大循环时间以及配置的最大通信负载。 认证信息 认证信息: Corstiaan Klos 补充信息 补充信息: 有关Siemens产品的安全漏洞查询,请联系Siemens ProductCERT。 历史数据 历史数据: V1.0 (2024-10-08): Publication Date 条款和使用 条款和使用: Siemens Security Advisories受Siemens的许可条款或先前与Siemens达成的其他适用协议的约束。在适用的情况下,Siemens Security Advisory的条款和使用条款(https://www.siemens.com/terms_of_use)将适用,特别是第8-10节。在冲突的情况下,许可条款将优先于使用条款。