Vulnerabilidades en productos Siemens 

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos Siemens, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros. 

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a productos Siemens, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros. 

Las vulnerabilidades reportadas se componen de 2 (Dos) de severidad “Crítica”, las misma se detallan a continuación:  

  • CVE-2021-39275 de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad existe debido a un error de límite dentro de la función ap_escape_quotes(). Un atacante remoto realizar aprovechar esta vulnerabilidad para enviar una solicitud especialmente diseñada al servidor web provocando la ejecución remota de código (RCE) en el sistema destino o denegación de servicio (DoS). 
  • CVE-2021-40438 de severidad crítica, con una puntuación asignada de 9.0. Esta se debe a un error de validación insuficiente de entrada proporcionada en el módulo mod_proxy en Apache HTTP Server. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ataques SSRF enviando una solicitud HTTP especialmente diseñada para engañar al servidor web y obtener acceso a datos confidenciales.  

Los productos afectados son: 

  • Servidor SINEMA, versión 14. 
  • SINEC NMS, todas las versiones. 

Recomendamos instalar las actualizaciones correspondientes que serán provistas por Siemens en el siguiente enlace: 

Referencias: 

Compartir: