N/A

The Web Navigator in Siemens WinCC before 7.2 Update 1, as used in SIMATIC PCS7 8.0 SP1 and earlier and other products, exhibits different behavior for NetBIOS user names depending on whether the user account exists, which allows remote authenticated users to enumerate account names via crafted URL parameters.

N/A

N/A

SIMATIC PCS7 Siemens WinCC Web Navigator 安全漏洞

Siemens SIMATIC WinCC是德国西门子（Siemens）公司的一套自动化的数据采集与监控（SCADA）系统。该系统提供过程监视、数据采集等功能。 SIMATIC PCS7 8.0 SP1及更早版本和其它产品中所使用的Siemens WinCC 7.2 Update 1之前版本中的Web Navigator中存在漏洞,该漏洞源于程序根据用户账户是否存在而对NetBIOS用户名展示不同的操作。远程认证攻击者可通过特制的URL参数利用该漏洞枚举账户名称。

N/A

N/A