Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SCALANCE (CVE-2023-44373)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
14/11/2023
Última modificación:
10/09/2024

Descripción

Se ha identificado una vulnerabilidad en: <br /> SCALANCE XB205-3 (SC, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB205-3 (ST, E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB205-3 (ST , E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB205-3 (ST, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB205-3LD (SC, E/IP) (V &amp;lt; 4.5 ), <br /> SCALANCE XB205-3LD (SC, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB208 (E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB208 (PN) (V &amp;lt; 4.5), <br /> SCALANCE XB213-3 (SC, E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB213-3 (SC, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB213-3 (ST, E/IP) ( V &amp;lt; 4.5), <br /> SCALANCE XB213-3 (ST, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB213-3LD (SC, E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB213-3LD (SC, PN) (V &amp;lt; 4.5), <br /> SCALANCE XB216 (E/IP) (V &amp;lt; 4.5), <br /> SCALANCE XB216 (PN) (V &amp;lt; 4.5), <br /> SCALANCE XC206-2 (SC ) (V &amp;lt; 4.5), <br /> SCALANCE XC206-2 (ST/BFOC) (V &amp;lt; 4.5), <br /> SCALANCE XC206-2G PoE (V &amp;lt; 4.5), <br /> SCALANCE XC206-2G PoE (54 V DC) (V &amp;lt; 4.5), y<br /> SCALANCE XC206-2G PoE EEC (54 V DC) (V &amp;lt; 4.5), <br /> SCALANCE XC206-2SFP (V &amp;lt; 4.5), <br /> SCALANCE XC206-2SFP EEC ( V &amp;lt; 4.5), <br /> SCALANCE XC206-2SFP G (V &amp;lt; 4.5), <br /> SCALANCE XC206-2SFP G (EIP DEF.) (V &amp;lt; 4.5), <br /> SCALANCE XC206-2SFP G EEC (V &amp;lt; 4.5), <br /> SCALANCE XC208 (V &amp;lt; 4.5), <br /> SCALANCE XC208EEC (V &amp;lt; 4.5), <br /> SCALANCE XC208G (V &amp;lt; 4.5), <br /> SCALANCE XC208G (EIP def.) (V &amp;lt; 4.5), <br /> SCALANCE XC208G EEC (V &amp;lt; 4.5), <br /> SCALANCE XC208G PoE (V &amp;lt; 4.5), <br /> SCALANCE XC208G PoE (54 V DC) (V &amp;lt; 4.5), <br /> SCALANCE XC216 (todas versiones &amp;lt; V4.5), <br /> SCALANCE XC216-3G PoE (V &amp;lt; 4.5), <br /> SCALANCE XC216-3G PoE (54 V DC) (V &amp;lt; 4.5), <br /> SCALANCE XC216-4C (V &amp;lt; 4. 5), <br /> SCALANCE XC216-4C G (V &amp;lt; 4.5), <br /> SCALANCE XC216-4C G (EIP Def.) (V &amp;lt; 4.5), <br /> SCALANCE XC216-4C G EEC (V &amp;lt; 4.5) , <br /> SCALANCE XC216EEC (V &amp;lt; 4.5), <br /> SCALANCE XC224 (V &amp;lt; 4.5), <br /> SCALANCE XC224-4C G (V &amp;lt; 4.5), <br /> SCALANCE XC224-4C G (EIP Def.) (V &amp;lt; 4.5), <br /> SCALANCE XC224-4C G EEC (V &amp;lt; 4.5), <br /> SCALANCE XF204 (V &amp;lt; 4.5), <br /> SCALANCE XF204 DNA (V &amp;lt; 4.5), <br /> SCALANCE XF204-2BA (Todas versiones &amp;lt; V4.5), <br /> SCALANCE XF204-2BA DNA (V &amp;lt; 4.5), <br /> SCALANCE XP208 (V &amp;lt; 4.5), <br /> SCALANCE XP208 (Ethernet/IP) (V &amp;lt; 4.5), <br /> SCALANCE XP208EEC (V &amp;lt; 4.5), <br /> SCALANCE XP208PoE EEC (V &amp;lt; 4.5), <br /> SCALANCE XP216 (V &amp;lt; 4.5), <br /> SCALANCE XP216 (Ethernet/IP) (V &amp;lt; 4.5), <br /> SCALANCE XP216EEC (V &amp;lt; 4.5), <br /> SCALANCE XP216POE EEC (V &amp;lt; 4.5), <br /> SCALANCE XR324WG (24 x FE, AC 230V) (V &amp;lt; 4.5), <br /> SCALANCE XR324WG (24 X FE, DC 24V) (V &amp;lt; 4.5), <br /> SCALANCE XR326-2C PoE WG (V &amp;lt; 4.5), <br /> SCALANCE XR326-2C PoE WG (sin UL) (V &amp;lt; 4.5), <br /> SCALANCE XR328-4C WG (24XFE , 4XGE, 24V) (V &amp;lt; 4.5), <br /> SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (V &amp;lt; 4.5), <br /> SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V &amp;lt; 4.5), <br /> SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V &amp;lt; 4.5), <br /> SCALANCE XR328-4C WG (28xGE, AC 230V) (V &amp;lt; 4.5), <br /> SCALANCE XR328- 4C WG (28xGE, DC 24V) (V &amp;lt; 4.5), <br /> SIPLUS NET SCALANCE XC206-2 (V &amp;lt; 4.5), <br /> SIPLUS NET SCALANCE XC206-2SFP (V &amp;lt; 4.5), <br /> SIPLUS NET SCALANCE XC208 (V &amp;lt; 4.5), <br /> SIPLUS NET SCALANCE XC216-4C (V &amp;lt; 4.5).<br /> Los dispositivos afectados no sanitizan adecuadamente un campo de entrada. Esto podría permitir que un atacante remoto autenticado con privilegios administrativos inyecte código o genere un root shell del sistema. Seguimiento del CVE-2022-36323.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:siemens:6gk5205-3bb00-2ab2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5205-3bb00-2ab2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5205-3bb00-2tb2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5205-3bb00-2tb2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5205-3bd00-2tb2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5205-3bd00-2tb2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5205-3bd00-2ab2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5205-3bd00-2ab2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5205-3bf00-2tb2_firmware:*:*:*:*:*:*:*:* 4.5 (incluyendo)
cpe:2.3:h:siemens:6gk5205-3bf00-2tb2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5205-3bf00-2ab2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5205-3bf00-2ab2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5208-0ba00-2tb2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)
cpe:2.3:h:siemens:6gk5208-0ba00-2tb2:-:*:*:*:*:*:*:*
cpe:2.3:o:siemens:6gk5208-0ba00-2ab2_firmware:*:*:*:*:*:*:*:* 4.5 (excluyendo)