طبق مستند منتشر شده شرکت #Siemens در تاریخ 2019-09-10 (19/6/98) محصولات SIMATIC WinCC Runtime و SIMATIC PCS7 و SIMATIC WinCC ( همچنین نسخه TIA PORTAL ) دارای آسیب پذیری با درجه اهمیت 9.1 و شماره CVE-2019-10916 هستند که اجازه اجرای کد را برای حمله کننده برروی سیستم های آلوده را فراهم می کند. این آسیب پذیری قابل بهره برداری از راه دور می باشد ( حمله کننده می بایست به project file دسترسی داشته باشد ) و به دلیل ضعف در کد از نوع SQL INJECTION (شماره CWE-89) بوجود آمده است.
محصولات آسیب پذیر به ظرح زیر می باشند :
- تمامی نسخه های SIMATIC PCS 7 V8.0
- تمامی نسخه های SIMATIC PCS 7 V8.1 قبل از V8.1 به همراه WinCC V7.3 Upd 19
- تمامی نسخه های SIMATIC PCS 7 V8.2قبل از V8.2 SP1 به همراه WinCC V7.4 SP1Upd11
- تمامی نسخه های SIMATIC PCS 7 V9.0 قبل از V9.0 SP2 به همراه WinCC V7.4 SP1Upd11
- تمامی نسخه های SIMATIC WinCC (TIA Portal) V13
- تمامی نسخه های SIMATIC WinCC (TIA Portal) V14
- تمامی نسخه های SIMATIC WinCC (TIA Portal) V15
- تمامی نسخه های SIMATIC WinCC Runtime Professional V13
- تمامی نسخه های SIMATIC WinCC Runtime Professional V14 قبل از V14.1 Upd 11
- تمامی نسخه های SIMATIC WinCC Runtime Professional V15 قبل از V15.1 Upd 3
- نسخه SIMATIC WinCC V7.2 و همه نسخه های قبل از آن
- تمامی نسخه های SIMATIC WinCC V7.3 قبل از V7.3 Upd 19
- تمامی نسخه های SIMATIC WinCC V7.4 قبل از V7.4 SP1 Upd 11
- تمامی نسخه های SIMATIC WinCC V7.5 قبل از V7.5 Upd 3
جهت رفع این آسیب پذیری به نکات زیر توجه فرمایید:
بروز رسانی های زیر توسط Siemens منتشر شده که در آن ها این آسیب پذیری مرتفع شده است :
- SIMATIC WinCC Runtime Professional v14: Update to v14.1 Upd 11
- SIMATIC WinCC Runtime Professional v15: Update to v15.1 Upd 3
- SIMATIC PCS7 v8.1: Update WinCC to v7.3 Upd 19
- SIMATIC PCS7 v9.0: Update WinCC to v7.4 SP1 Upd 11
- SIMATIC WinCC v7.3: Update WinCC to v7.3 Upd 19
- SIMATIC PCS7 v8.2: Update WinCC to v7.4 SP1 Upd 11
- SIMATIC WinCC v7.4: Update WinCC to v7.4 SP1 Upd 11
- SIMATIC WinCC v7.5: Update WinCC to v7.5 Upd 3
- 40