关键漏洞信息 漏洞编号: SSA-356310 漏洞名称: Multiple Vulnerabilities in Gridscale X Prepay 发布日期: 2025-12-09 当前版本: V1.0 CVSS评分: - v3.1 Base Score: 6.3 - v4.0 Base Score: 6.9 漏洞概述 Grayscale X Prepay 存在多个漏洞,允许攻击者枚举有效用户名并绕过已锁定的用户会话。 受影响产品及版本 受影响产品和版本: Grayscale X Prepay (All versions < V4.2.1 affected by all CVEs) 补救措施: 请联系当地的 Siemens 代表以获取更多信息。 漏洞描述 CVE-2025-40806: 应用程序因可区分的响应易受用户枚举攻击,允许未认证的远程攻击者判断用户是否有效,从而对有效用户进行暴力攻击。 - CVSS v3.1 Base Score: 5.3 - CVSS v4.0 Base Score: 6.9 - CWE: CWE-204: Observable Response Discrepancy CVE-2025-40807: 应用程序因认证令牌的捕获重放易受攻击,允许已认证但被锁定的用户建立仍有效的会话。 - CVSS v3.1 Base Score: 6.3 - CVSS v4.0 Base Score: 5.3 - CWE: CWE-294: Authentication Bypass by Capture-replay