CVSS: 4.0EPSS: 0%CPEs: 13EXPL: 0CVE-2013-0676
https://notcve.org/view.php?id=CVE-2013-0676
Siemens WinCC before 7.2, as used in SIMATIC PCS7 before 8.0 SP1 and other products, does not properly assign privileges for the database containing WebNavigator credentials, which allows remote authenticated users to obtain sensitive information via a SQL query. Siemens WinCC anterior a v7.2, usado en SIMATIC PCS7 anterior a v8.0 SP1 y otros productos, no asigna correctamente los privilegios de la base de datos que contiene las credenciales WebNavigator, lo que permite a usuarios autenticados obtener información a través de consultas SQL. • http://ics-cert.us-cert.gov/pdf/ICSA-13-079-02.pdf http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-714398.pdf • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.8EPSS: 0%CPEs: 13EXPL: 0CVE-2013-0677
https://notcve.org/view.php?id=CVE-2013-0677
The web server in Siemens WinCC before 7.2, as used in SIMATIC PCS7 before 8.0 SP1 and other products, allows remote attackers to obtain sensitive information or cause a denial of service via a crafted project file. El servidor web en Siemens WinCC antes de v7,2, tal como se utiliza en SIMATIC PCS v7 antes de v8,0 SP1 y otros productos, permite a atacantes remotos obtener información sensible o causar una denegación de servicio a través de un archivo de proyecto elaborado. • http://ics-cert.us-cert.gov/pdf/ICSA-13-079-02.pdf http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-714398.pdf • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.0EPSS: 0%CPEs: 5EXPL: 0CVE-2013-0678
https://notcve.org/view.php?id=CVE-2013-0678
Siemens WinCC before 7.2, as used in SIMATIC PCS7 before 8.0 SP1 and other products, does not properly represent WebNavigator credentials in a database, which makes it easier for remote authenticated users to obtain sensitive information via a SQL query. Siemens WinCC antes de v7,2, tal como se utiliza en SIMATIC PCS 7 antes de v8,0 SP1 y otros productos, no representa correctamente las credenciales WebNavigator en una base de datos, lo que hace que sea más fácil para los usuarios remotos autenticados para obtener información sensible a través de una consulta SQL. • http://ics-cert.us-cert.gov/pdf/ICSA-13-079-02.pdf http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-714398.pdf • CWE-255: Credentials Management Errors •
CVSS: 4.0EPSS: 0%CPEs: 13EXPL: 0CVE-2013-0679
https://notcve.org/view.php?id=CVE-2013-0679
Directory traversal vulnerability in the web server in Siemens WinCC before 7.2, as used in SIMATIC PCS7 before 8.0 SP1 and other products, allows remote authenticated users to read arbitrary files via vectors involving a query for a pathname. Vulnerabilidad de salto de directorio en el servidor web en Siemens WinCC anterior a v7.2, como se usa en SIMATIC PCS7 anterior a v8.0 SP1 y otros productos, permite a usuarios remotamente autenticados leer ficheros a través de vectores que implican una consulta al pathname. • http://ics-cert.us-cert.gov/pdf/ICSA-13-079-02.pdf http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-714398.pdf • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.8EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3028
https://notcve.org/view.php?id=CVE-2012-3028
Cross-site request forgery (CSRF) vulnerability in WebNavigator in Siemens WinCC 7.0 SP3 and earlier, as used in SIMATIC PCS7 and other products, allows remote attackers to hijack the authentication of arbitrary users for requests that modify data or cause a denial of service. Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en WebNavigator en Siemens WinCC v7.0 SP3 y versiones anteriores, tal como se utiliza en SIMATIC PCS v7 y otros productos, permite a atacantes remotos provocar una denegación de servicio o secuestrar la autenticación de usuarios de su elección para las peticiones que modifican datos. • http://en.securitylab.ru/lab/PT-2012-42 http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-864051.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-256-01.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •