关键信息 漏洞描述 漏洞编号: SSA-097786 漏洞类型: 插入敏感信息到日志文件的漏洞 受影响产品: SINUMERIK系统 受影响版本: - SINUMERIK 828D V4: 所有版本 < V4.95 SP3 - SINUMERIK 840D sl V4: 所有版本 < V4.95 SP3 - SINUMERIK ONE: 所有版本 漏洞影响 当使用Create MyConfig (CMC) 包时,如果在NCU或IPC上使用CMC包或手动输入密码,该密码将被记录在文件uptrace.out中。 这可能导致具有低权限的本地用户读取该密码并使用它来冒充具有更高权限的用户。 解决方案 更新到V4.95 SP3或更高版本。 更新软件版本可以从西门子客户服务支持或当地合作伙伴获得。 参见“工作规避和缓解措施”部分的进一步建议。 工作规避和缓解措施 删除文件手动(使用CMC后): - NCU: /card/user/sinumerik/hmi/log/sltrace.out - IPC: c:\ProgramData\Siemens\MotionControl\user\sinumerik\hmi\log\sltrace.out 备份相应的跟踪文件uptrace.out.bak。 更改跟踪配置以在未来关闭跟踪。 通用安全建议 建议采取特定的工作规避和缓解措施来降低风险。 请参阅受影响产品和解决方案部分的通用安全建议。 产品描述 SINUMERIK系统是西门子的工业自动化和控制产品。 受影响的组件 SINUMERIK 828D V4 SINUMERIK 840D sl V4 SINUMERIK ONE CVSS评分 CVSS v3.1 Base Score: 5.5 CVSS v4.0 Base Score: 6.8 其他信息 有关安全漏洞的进一步查询,请联系西门子产品CERT。 有关历史数据,请参阅历史数据部分。 有关使用条款,请参阅使用条款部分。 总结 这个安全公告描述了一个影响SINUMERIK系统的漏洞,该漏洞允许具有低权限的本地用户读取敏感信息并冒充具有更高权限的用户。西门子建议更新到最新版本以解决此问题,并提供了工作规避和缓解措施。