Vulnerabilidad en el servidor web integrado en los módulos de Siemens SCALANCE M-800 y S615 (CVE-2016-7090)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
29/09/2016
Última modificación:
12/04/2025
Descripción
El servidor web integrado en los módulos de Siemens SCALANCE M-800 y S615 con firmware en versión anterior a 4.02 no establece el indicador de seguridad para la cookie de la sesión en una sesión https, lo que facilita a atacantes remotos capturar esta cookie interceptando esta transmisión dentro de una sesión http.
Impacto
Puntuación base 3.x
4.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:siemens:scalance_m-800_firmware:*:*:*:*:*:*:*:* | 4.01 (incluyendo) | |
| cpe:2.3:h:siemens:scalance_m-800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:siemens:scalance_s615_firmware:*:*:*:*:*:*:*:* | 4.01 (incluyendo) | |
| cpe:2.3:h:siemens:scalance_s615:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/93115
- http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-342135.pdf
- https://ics-cert.us-cert.gov/advisories/ICSA-16-271-01
- http://www.securityfocus.com/bid/93115
- http://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-342135.pdf
- https://ics-cert.us-cert.gov/advisories/ICSA-16-271-01