Plateforme
siemens
Composant
siemens-industrial-edge-management-pro
Corrigé dans
1.15.17
2.1.1
2.7.10
La vulnérabilité CVE-2026-33892 concerne Siemens Industrial Edge Management Pro, où l'authentification des utilisateurs n'est pas correctement appliquée sur les connexions distantes aux appareils. Cette faille permet à un attaquant non authentifié de se faire passer pour un utilisateur légitime, compromettant potentiellement la sécurité du système. Les versions affectées sont Industrial Edge Management Pro V1 (>= V1.7.6 < V1.15.17), Industrial Edge Management Pro V2 (>= V2.0.0 < V2.1.1) et Industrial Edge Management Virtual (>= V2.2.0 < V2.8.0). Une correction est disponible dans la version V2.8.0.
Une vulnérabilité critique a été identifiée dans Industrial Edge Management Pro V1, V2 et Virtual, affectant des versions spécifiques (V1 >= 1.7.6 < 1.15.17, V2 >= 2.0.0 < 2.1.1, Virtual >= 2.2.0 < 2.8.0). Cette faille de sécurité réside dans l'absence d'application correcte de l'authentification utilisateur sur les connexions distantes aux appareils. Un attaquant distant non authentifié pourrait exploiter cette faiblesse pour contourner les mécanismes d'authentification et se faire passer pour un utilisateur légitime. Cela pourrait entraîner un accès non autorisé aux systèmes industriels, la manipulation de données, la perturbation des opérations et, potentiellement, des dommages physiques aux équipements contrôlés. La gravité de cette vulnérabilité est notée CVSS 7.1, ce qui indique un risque important.
Un attaquant ayant accès au réseau où se trouvent les appareils de gestion pourrait exploiter cette vulnérabilité. Aucune authentification préalable n'est requise pour exécuter l'attaque, ce qui simplifie son exécution. L'attaquant pourrait utiliser des outils de numérisation de réseau pour identifier les appareils vulnérables, puis exploiter l'absence d'authentification pour accéder au système et exécuter des commandes comme s'il s'agissait d'un utilisateur autorisé. L'impact potentiel est élevé, car un attaquant pourrait obtenir un contrôle total sur les appareils industriels affectés.
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer cette vulnérabilité est de mettre à niveau vers la version Industrial Edge Management Pro V2.8.0 ou ultérieure. Cette mise à jour inclut les correctifs nécessaires pour garantir l'application correcte de l'authentification utilisateur sur les connexions distantes. En attendant, comme mesure temporaire, il est recommandé de restreindre l'accès au réseau aux appareils de gestion, de mettre en œuvre des pare-feu robustes et de surveiller activement les journaux système à la recherche d'activités suspectes. Il est crucial d'appliquer cette mise à jour dès que possible pour protéger les systèmes industriels contre d'éventuelles attaques. Consultez la documentation officielle du fabricant pour obtenir des instructions détaillées sur le processus de mise à niveau.
Aplique las últimas actualizaciones de seguridad proporcionadas por Siemens, específicamente las versiones 1.15.17, 2.1.1 y 2.8.0 o superiores. Revise la nota de seguridad SSA-609469 en el sitio web de Siemens para obtener instrucciones detalladas y pasos adicionales para mitigar el riesgo. Desactive la función de conexión remota a dispositivos si no es necesaria.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions concernées sont V1 >= 1.7.6 < 1.15.17, V2 >= 2.0.0 < 2.1.1 et Virtual >= 2.2.0 < 2.8.0.
La mise à niveau vers la version V2.8.0 ou ultérieure est la solution recommandée.
Restreindre l'accès au réseau, mettre en œuvre des pare-feu et surveiller les journaux système sont des mesures temporaires.
CVSS 7.1 indique un risque important, ce qui signifie que la vulnérabilité est exploitable et pourrait avoir un impact majeur.
Consultez la documentation officielle du fabricant pour obtenir des instructions détaillées sur le processus de mise à niveau.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.