关键信息 漏洞描述 漏洞编号: SSA-876787 受影响产品: SIMATIC S7-1500 和 S7-1200 CPU 漏洞类型: Open Redirect Vulnerability 影响版本: V1.0 CVSS v3.1 Base Score: 4.7 CVSS v4.0 Base Score: 5.1 影响范围 受影响产品和版本: - SIMATIC Drive Controller family - SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) - SIMATIC S7-1200 CPU family V4 (incl. SIPLUS variants) - SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) - SIMATIC S7-1500 Software Controller - SIMATIC S7-PLCSIM Advanced 解决方案 建议措施: - 更新到 V3.1.4 或更高版本 - 参考《工作原理和补救措施》部分的进一步建议 工作原理和补救措施 工作原理: - 受影响设备的 web 服务器未正确验证用于用户重定向的输入。 - 攻击者可以利用此漏洞使服务器将合法用户重定向到攻击者指定的 URL。 补救措施: - 不点击未知来源的链接。 通用安全建议 建议措施: - 保护网络访问到具有适当机制的设备。 - 配置环境以符合西门子工业安全操作指南。 - 遵循产品手册中的建议。 产品描述 产品描述: - 描述了受影响产品的功能和特性。 额外信息 联系信息: - 联系 Siemens ProductCERT 获取更多信息。 历史数据 发布日期: 2024-10-08 条款和使用 条款和使用: - Siemens Security Advisories 受其底层许可条款或先前与 Siemens 协商的其他适用协议的约束。在适用的情况下,软件或文档在 Siemens 安全公告中提供的条款和使用条件(《使用条款》)将适用,特别是《使用条款》的第 8-10 节。在冲突的情况下,许可条款将优先于《使用条款》。