CVSS: 4.0EPSS: 0%CPEs: 5EXPL: 0CVE-2013-0678
https://notcve.org/view.php?id=CVE-2013-0678
Siemens WinCC before 7.2, as used in SIMATIC PCS7 before 8.0 SP1 and other products, does not properly represent WebNavigator credentials in a database, which makes it easier for remote authenticated users to obtain sensitive information via a SQL query. Siemens WinCC antes de v7,2, tal como se utiliza en SIMATIC PCS 7 antes de v8,0 SP1 y otros productos, no representa correctamente las credenciales WebNavigator en una base de datos, lo que hace que sea más fácil para los usuarios remotos autenticados para obtener información sensible a través de una consulta SQL. • http://ics-cert.us-cert.gov/pdf/ICSA-13-079-02.pdf http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-714398.pdf • CWE-255: Credentials Management Errors •
CVSS: 4.3EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3034
https://notcve.org/view.php?id=CVE-2012-3034
WebNavigator in Siemens WinCC 7.0 SP3 and earlier, as used in SIMATIC PCS7 and other products, allows remote attackers to discover a username and password via crafted parameters to unspecified methods in ActiveX controls. WebNavigator en Siemens WinCC v7.0 SP3 y anteriores, como se usa en SIMATIC PCS7 y otros productos, permite a atacantes remotos descubrir un nombre de usuario y contraseña a través de parámetros modificados en métodos no especificados de controles ActiveX • http://en.securitylab.ru/lab/PT-2012-45 http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-864051.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-256-01.pdf • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.0EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3030
https://notcve.org/view.php?id=CVE-2012-3030
WebNavigator in Siemens WinCC 7.0 SP3 and earlier, as used in SIMATIC PCS7 and other products, stores sensitive information under the web root with insufficient access control, which allows remote attackers to read a (1) log file or (2) configuration file via a direct request. WebNavigator en Siemens WinCC v7.0 SP3 y anteriores, como las usadas en SIMATIC PCS7 y otros productos, almacena información sensible bajo l directorio web raiz con un control de acceso no suficiente, lo que permite a atacantes remotos a leer (1) ficheros de registro o (2) ficheros de configuración a través de una petición directa. • http://en.securitylab.ru/lab/PT-2012-43 http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-864051.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-256-01.pdf • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3028
https://notcve.org/view.php?id=CVE-2012-3028
Cross-site request forgery (CSRF) vulnerability in WebNavigator in Siemens WinCC 7.0 SP3 and earlier, as used in SIMATIC PCS7 and other products, allows remote attackers to hijack the authentication of arbitrary users for requests that modify data or cause a denial of service. Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en WebNavigator en Siemens WinCC v7.0 SP3 y versiones anteriores, tal como se utiliza en SIMATIC PCS v7 y otros productos, permite a atacantes remotos provocar una denegación de servicio o secuestrar la autenticación de usuarios de su elección para las peticiones que modifican datos. • http://en.securitylab.ru/lab/PT-2012-42 http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-864051.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-256-01.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3032
https://notcve.org/view.php?id=CVE-2012-3032
SQL injection vulnerability in WebNavigator in Siemens WinCC 7.0 SP3 and earlier, as used in SIMATIC PCS7 and other products, allows remote attackers to execute arbitrary SQL commands via a crafted SOAP message. Vulnerabilidad de inyección SQL en Siemens WinCC v7.0 SP3 y anteriores, como se usa en SIMATIC PCS7 y otros productos, permite a atacantes remotos ejecutar comandos SQL de su elección a través de un mensaje SOAP modificado. • http://en.securitylab.ru/lab/PT-2012-44 http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-864051.pdf http://www.us-cert.gov/control_systems/pdf/ICSA-12-256-01.pdf • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •