Siemens PADS Standard/PADS Standard Plus PCB File Parser Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $5k-$25k | 0.00 |
Zusammenfassung
In Siemens PADS Standard and PADS Standard Plus wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente PCB File Parser. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2022-34290 vorgenommen. Ein Angriff ist aus der Distanz möglich. Es gibt keinen verfügbaren Exploit. Es wird geraten, die betroffene Komponente durch eine alternative Komponente auszutauschen.
Details
Eine kritische Schwachstelle wurde in Siemens PADS Standard sowie PADS Standard Plus - eine genaue Versionsangabe steht aus - gefunden. Betroffen davon ist ein unbekannter Codeteil der Komponente PCB File Parser. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt. Die Zusammenfassung von CVE lautet:
A vulnerability has been identified in PADS Standard/Plus Viewer (All versions). The affected application contains a stack corruption vulnerability while parsing PCB files. An attacker could leverage this vulnerability to leak information in the context of the current process. (FG-VD-22-055)Die Schwachstelle wurde am 12.07.2022 als ssa-439148 herausgegeben. Das Advisory findet sich auf cert-portal.siemens.com. Die Verwundbarkeit wird seit dem 22.06.2022 mit der eindeutigen Identifikation CVE-2022-34290 gehandelt. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 21.07.2022).
Das Problem kann durch den Einsatz von als alternatives Produkt mitigiert werden.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.siemens.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.3
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Timeline
22.06.2022 🔍12.07.2022 🔍
12.07.2022 🔍
21.07.2022 🔍
Quellen
Hersteller: siemens.comAdvisory: ssa-439148
Status: Bestätigt
CVE: CVE-2022-34290 (🔍)
GCVE (CVE): GCVE-0-2022-34290
GCVE (VulDB): GCVE-100-203603
Eintrag
Erstellt: 12.07.2022 16:43Aktualisierung: 21.07.2022 16:20
Anpassungen: 12.07.2022 16:43 (39), 21.07.2022 16:20 (18)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.