Múltiples vulnerabilidades en SiPass integrated de Siemens
Fecha de publicación 30/05/2025
Identificador
INCIBE-2025-0280
Importancia
4 - Alta
Recursos Afectados
- Las siguientes versiones de SiPass integrated están afectadas por CVE-2022-31807:
- Siemens SiPass integrated AC5102 (ACC-G2): todas las versiones;
- Siemens SiPass integrated ACC-AP: todas las versiones.
- Las siguientes versiones de SiPass integrated están afectadas por CVE-2022-31812:
- SiPass integrated: versiones anteriores a V2.95.3.18.
Descripción
Siemens ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podrían permitir a un atacante cargar un firmware modificado maliciosamente en el dispositivo o causar una condición de denegación de servicio (DoS).
Solución
Siemens ha lanzado la versión V2.95.3.18 de SiPass integrated para dar solución a la vulnerabilidad con identificador CVE-2022-31812.
Para la vulnerabilidad CVE-2022-31807, Siemens recomienda seguir las medidas de mitigación recogidas en el aviso enlazado en las referencias.
Detalle
- Los dispositivos afectados no comprueban correctamente la integridad de las actualizaciones de firmware. Esto podría permitir a un atacante local cargar un firmware modificado maliciosamente en el dispositivo. En un segundo escenario, un atacante remoto capaz de interceptar la transferencia de un firmware válido desde el servidor al dispositivo, podría modificar el mismo en ese momento. Se ha asignado el identificador CVE-2022-31807 para esta vulnerabilidad.
- Las aplicaciones de servidor afectadas contienen una lectura fuera de límites más allá del final de un búfer asignado mientras comprueban la integridad de los paquetes entrantes. Esto podría permitir a un atacante remoto, no autenticado, crear una situación de denegación de servicio (DoS). Se ha asignado el identificador CVE-2022-31812 para esta vulnerabilidad.
Listado de referencias
