N/A

A vulnerability has been identified in Desigo DXR2 (All versions < V01.21.142.5-22), Desigo PXC3 (All versions < V01.21.142.4-18), Desigo PXC4 (All versions < V02.20.142.10-10884), Desigo PXC5 (All versions < V02.20.142.10-10884). The login functionality of the application fails to normalize the response times of login attempts performed with wrong usernames with the ones executed with correct usernames. A remote unauthenticated attacker could exploit this side-channel information to perform a username enumeration attack and identify valid usernames.

N/A

通过差异性导致的信息暴露

多款Siemens产品安全漏洞

Siemens Desigo DXR2等都是德国西门子（Siemens）公司的一个楼宇自动化和控制产品。 Siemens 多款产品存在安全漏洞，该漏洞源于应用程序的登录功能无法将使用错误用户名执行的登录尝试与使用正确用户名执行的登录尝试的响应时间标准化。 未经身份验证的远程攻击者可以利用此边信道信息来执行用户名枚举攻击并识别有效用户名。以下产品和版本受到影响：Desigo PXC3 01.21.142.4-1之前版本，Desigo PXC4 02.20.142.10-10884之前版本，Desigo PX

N/A

N/A