Vulnerabilidad en HMI web server en Siemens WinCC flexible (CVE-2011-4509)

Gravedad CVSS v2.0:

ALTA

Tipo:

CWE-264 Permisos, privilegios y/o control de acceso

Fecha de publicación:

03/02/2012

Última modificación:

11/04/2025

Descripción

El servidor web HMI en Siemens WinCC flexible v2004, v2005, v2007 y v2008; WinCC V11 (también conocido como TIA Portal), el TP, OP, MP, Comfort Panels, y los paneles de Mobile Panels SIMATIC HMI, WinCC V11 Runtime Advanced, y WinCC Runtime, tiene una contraseña por defecto mal seleccionado para la cuenta de administrador, lo que hace que sea más fácil para los atacantes remotos obtener acceso usando fuerza bruta mediante el uso de gran cantidad de peticiones HTTP.

Impacto

Vector 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 10.00 ALTA
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0

10.00

Gravedad 2.0

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:siemens:wincc_flexible:2004:::::::*
cpe:2.3:a:siemens:wincc_flexible:2005:::::::*
cpe:2.3:a:siemens:wincc_flexible:2007:::::::*
cpe:2.3:a:siemens:wincc_flexible:2008:::::::*
cpe:2.3:a:siemens:wincc:v11:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:comfort_panels:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:mobile_panels:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:mp:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:op:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:tp:::::::*
cpe:2.3:a:siemens:wincc_runtime_advanced:v11:::::::*
cpe:2.3:a:siemens:wincc_flexible_runtime::::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:siemens:wincc_flexible:2004:::::::*
cpe:2.3:a:siemens:wincc_flexible:2005:::::::*
cpe:2.3:a:siemens:wincc_flexible:2007:::::::*
cpe:2.3:a:siemens:wincc_flexible:2008:::::::*
cpe:2.3:a:siemens:wincc:v11:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:comfort_panels:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:mobile_panels:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:mp:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:op:::::::*
cpe:2.3:a:siemens:simatic_hmi_panels:tp:::::::*
cpe:2.3:a:siemens:wincc_runtime_advanced:v11:::::::*
cpe:2.3:a:siemens:wincc_flexible_runtime::::::::

Vulnerabilidad en HMI web server en Siemens WinCC flexible (CVE-2011-4509)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información