CRITICAL🇬🇧 English

CVE-2024-47562

Command injection w Siemens SINEC Security Monitor – eskalacja uprawnień

CVSS 9.3v4.0pub. 2024-10-08upd. 2026-03-10

W aplikacji Siemens SINEC Security Monitor (wersje poniżej V4.9.0) zidentyfikowano podatność klasy command injection, umożliwiającą lokalnemu atakującemu wykonanie uprzywilejowanych poleceń systemowych. Podatność jest krytyczna, ponieważ nie wymaga wysokich uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

A vulnerability has been identified in SINEC Security Monitor (All versions < V4.9.0). The affected application does not properly neutralize special elements in user input to the ```ssmctl-client``` command. This could allow an authenticated, lowly privileged local attacker to execute privileged commands in the underlying OS.

🤖 Analiza AI
Jak działa

Aplikacja nie neutralizuje poprawnie znaków specjalnych w danych wejściowych przekazywanych do polecenia `ssmctl-client`. Uwierzytelniony lokalny atakujący z niskimi uprawnieniami może spreparować dane wejściowe zawierające złośliwe sekwencje znaków, które zostaną zinterpretowane przez system operacyjny jako odrębne polecenia. W efekcie atakujący może wykonać dowolne polecenia z wyższymi uprawnieniami niż mu przysługują.

Skutki

Atakujący może wykonać dowolne uprzywilejowane polecenia w systemie operacyjnym hosta, co w praktyce oznacza pełne przejęcie kontroli nad systemem, modyfikację konfiguracji bezpieczeństwa oraz potencjalny wpływ na systemy powiązane (wysoki wpływ na poufność, integralność i dostępność zarówno systemu, jak i zasobów zewnętrznych).

Mitygacja

Należy zaktualizować Siemens SINEC Security Monitor do wersji V4.9.0 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa Siemens ProductCERT: https://cert-portal.siemens.com/productcert/html/ssa-430425.html

Kogo dotyczy

Siemens SINEC Security Monitor – wszystkie wersje poniżej V4.9.0

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Siemens Sinec Security Monitor

    APP
    Siemens
    < 4.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-47553CRITICAL9.4PL ✓ten sam produkt

RCE z uprawnieniami root w Siemens SINEC Security Monitor

CVE-2025-40830HIGH8.4ten sam produkt

A vulnerability has been identified in SINEC Security Monitor (All versions < V4.10.0). The affected applicati...

CVE-2025-40831HIGH7.1ten sam produkt

A vulnerability has been identified in SINEC Security Monitor (All versions < V4.10.0). The affected applicati...

CVE-2026-27661MEDIUM5.3ten sam produkt

A vulnerability has been identified in SINEC Security Monitor (All versions < V4.9.0). The affected applicatio...

CVE-2024-47563MEDIUM6.9ten sam produkt

A vulnerability has been identified in SINEC Security Monitor (All versions < V4.9.0). The affected applicatio...