Plateforme
other
Composant
polarion
Corrigé dans
19.2.1
La vulnérabilité CVE-2019-13936 est une faille de Cross-Site Scripting (XSS) présente dans le composant webclient de Siemens AG Polarion. Cette faille permet à un attaquant d'exploiter une vulnérabilité XSS persistante, potentiellement compromettant la confidentialité et l'intégrité des données. Elle affecte toutes les versions de Polarion antérieures à la version 19.2. Une correction est disponible dans la version 19.2.
Un attaquant exploitant cette vulnérabilité XSS peut injecter des scripts malveillants dans les pages web de Polarion. Ces scripts peuvent être utilisés pour voler des informations sensibles, telles que des identifiants de connexion, des données personnelles ou des informations confidentielles relatives aux projets. L'attaquant peut également utiliser cette faille pour rediriger les utilisateurs vers des sites web malveillants, modifier le contenu des pages web ou effectuer d'autres actions malveillantes au nom de l'utilisateur compromis. L'impact est amplifié si Polarion est utilisé pour gérer des informations critiques ou sensibles, car une compromission pourrait avoir des conséquences graves pour l'entreprise.
Cette vulnérabilité a été rendue publique le 27 novembre 2019. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. Bien qu'elle ne soit pas considérée comme critique en raison de son score CVSS de 3.5 (LOW), elle reste une menace potentielle, en particulier pour les environnements où Polarion est largement utilisé et mal configuré. L'absence de Proof-of-Concept (PoC) publiquement disponible limite actuellement l'exploitation, mais cela pourrait changer.
Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and agile project tracking. Environments with shared user accounts or limited access controls may be more vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.34% (percentile 57%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Polarion vers la version 19.2 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de mettre en œuvre des mesures de sécurité temporaires, telles que la validation stricte de toutes les entrées utilisateur et l'utilisation d'un Web Application Firewall (WAF) pour bloquer les requêtes malveillantes. Il est également conseillé de surveiller attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'absence de scripts non autorisés dans les pages web de Polarion en effectuant des tests de sécurité.
Mettez à jour Siemens AG Polarion à la version 19.2 ou ultérieure. Cette mise à jour corrige une vulnérabilité de Cross-Site Scripting (XSS) persistante qui pourrait être exploitée par un attaquant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-13936 est une vulnérabilité XSS dans le composant webclient de Siemens AG Polarion, permettant l'exécution de scripts malveillants sur les pages web.
Vous êtes affecté si vous utilisez une version de Polarion inférieure à 19.2. Vérifiez votre version et mettez à jour si nécessaire.
La solution est de mettre à jour Polarion vers la version 19.2 ou ultérieure. En attendant, appliquez des mesures de sécurité temporaires comme un WAF.
Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour, mais la vulnérabilité reste une menace potentielle.
Consultez le site web de Siemens Security pour obtenir les informations officielles : [https://www.siemens.com/global/en/products/automation/industrial-security/security-advisories.html](https://www.siemens.com/global/en/products/automation/industrial-security/security-advisories.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.