Siemens SCALANCE/RUGGEDCOM Web界面权限提升漏洞(CVE-2022-31765)

漏洞概述 漏洞名称: SSA-552702: Privilege Escalation Vulnerability in the Web Interface of SCALANCE and RUGGEDCOM Products 发布日期: 2022-10-11 最后更新: 2026-04-14 当前版本: V1.6 CVSS v3.1 基础评分: 8.8 漏洞描述: 列出的产品未正确授权Web界面的更改密码功能，这可能导致低权限用户提升其权限。 影响范围 已知受影响产品: - SCALANCE S-600 family (incl. S615, MUM-2 800 and RM1224) - SCALANCE SC-600 family - SCALANCE W-700 IEEE 802.11ax family - SCALANCE W-700 IEEE 802.11n family - SCALANCE W-1700 IEEE 802.11ac family - SCALANCE 200BA/XR-300WG family - SCALANCE XM-400/XR-500 family 修复方案 缓解措施: - 使用ACL限制对设备Web服务器的访问。 - 限制对设备Web服务器端口（默认443/tcp或80/tcp）的访问，仅允许受信任的网络和客户端IP地址。 一般安全建议: - 强烈建议保护网络访问设备的安全机制。 - 按照Siemens的操作指南配置环境。 - 遵循产品手册中的建议。 漏洞详情 CVE-ID: CVE-2022-31765 CVSS v3.1 基础评分: 8.8 CVSS v3.1 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:RC/C CWE: CWE-862: Missing Authorization 致谢 感谢Martin Grubhofer和Michael Messner报告此漏洞。 附加信息 有关Siemens产品和解决方案中的安全漏洞的进一步查询，请联系Siemens ProductCERT。 历史数据 V1.0 (2022-10-11): 发布日期 V1.1 (2022-11-09): 添加受影响产品SCALANCE S615 V1.2 (2022-12-13): 添加SCALANCE SC-600系列的修复 V1.3 (2023-01-10): 添加SCALANCE W-700 IEEE 802.11ax产品系列的修复 V1.4 (2023-03-14): 添加受影响产品SCALANCE S613 EEC (6GK5615-0AA01-2AA2) 和 SCALANCE M876-4 (6GK5876-4AA10-2BA2) 的修复 V1.5 (2023-04-13): 添加SCALANCE XM-400/XR-500系列和SCALANCE XB-200/XC-200/XF-200/XR-300WG系列的修复 V1.6 (2026-04-14): 添加SCALANCE W-700 IEEE 802.11n系列的修复 使用条款 使用Siemens安全公告需遵守列出的条款和条件。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Siemens SCALANCE/RUGGEDCOM Web界面权限提升漏洞(CVE-2022-31765)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！