Vigil@nce - SIMATIC WinCC : multiples vulnérabilités
août 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de SIMATIC
WinCC.
Produits concernés : SIMATIC
Gravité : 2/4
Date création : 24/07/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans SIMATIC WinCC.
Un attaquant peut envoyer des requêtes HTTP spécialement mal
formées vers WebNavigator, afin d’obtenir des informations
sensibles. [grav:2/4 ; CVE-2014-4682]
Un attaquant peut contourner les règles de contrôles d’accès de
WebNavigator, afin d’élever ses privilèges. [grav:2/4 ;
CVE-2014-4683]
Un attaquant peut envoyer des commandes spécialement mal formées à
Database, afin d’élever ses privilèges. [grav:2/4 ; CVE-2014-4684]
Un attaquant peut profiter d’une mauvaise configuration des
permissions sur des objets du système, afin d’élever ses
privilèges. [grav:2/4 ; CVE-2014-4685]
Un attaquant peut utiliser une clé de chiffrement prédéfinie dans
une application d’administration, afin d’élever ses privilèges.
[grav:2/4 ; CVE-2014-4686]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SIMATIC-WinCC-multiples-vulnerabilites-15097