报告表示,这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。
西门子在一份报告中称,最严重的漏洞可允许经过身份验证的远程攻击者在某些条件下,以系统特权在系统上执行任意代码,其中最重要的一个漏洞可以允许将权限升级到管理员帐户,并且可以与此次发现的另一漏洞结合执行远程任意代码。
另一个值得注意的漏洞与SQL 注入有关,经过身份验证的攻击者可以利用该案例在本地数据库中执行任意命令。
值得庆幸的是,2021年10月12日,西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞。因此,特别建议相关用户务必及时安装更新,以避免这些漏洞对自身业务产生巨大影响。