Vulnerabilidad en SICK SIM4000 (PPC) (CVE-2022-27582)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
01/11/2022
Última modificación:
06/05/2025
Descripción
Vulnerabilidad de recuperación de contraseña en SICK SIM4000 (PPC) Partnumber 1078787, permite a un atacante remoto sin privilegios obtener acceso al nivel de usuario definido como RecoverableUserLevel invocando el método del mecanismo de recuperación de contraseña. Esto conduce a un aumento de sus privilegios en el sistema y, por lo tanto, afecta la integridad de la confidencialidad y la disponibilidad del sistema. Un atacante puede esperar un éxito repetible si explota la vulnerabilidad. Las versiones de firmware <=1.10.1 permiten opcionalmente desactivar la configuración del dispositivo a través de las interfaces de red. Asegúrese de aplicar prácticas de seguridad generales al operar el SIM4000. Se planea una solución, pero aún no está programada.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:sick:sim2000_firmware:*:*:*:*:*:*:*:* | 1.2.0 (excluyendo) | |
| cpe:2.3:h:sick:sim2000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim2000st_firmware:*:*:*:*:*:*:*:* | 1.2.0 (excluyendo) | |
| cpe:2.3:h:sick:sim2000st:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim2500_firmware:*:*:*:*:*:*:*:* | 1.2.0 (excluyendo) | |
| cpe:2.3:h:sick:sim2500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim1012_firmware:*:*:*:*:*:*:*:* | 2.2.0 (excluyendo) | |
| cpe:2.3:h:sick:sim1012:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim1004_firmware:*:*:*:*:*:*:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:h:sick:sim1004:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim1000_fx_firmware:*:*:*:*:*:*:*:* | 1.6.0 (excluyendo) | |
| cpe:2.3:h:sick:sim1000_fx:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:sick:sim4000_firmware:*:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sick:sim4000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página