El PSIRT Softing es un equipo central de Softing encargado de gestionar la investigación y divulgación de vulnerabilidades de seguridad. Todos los informes sobre posibles vulnerabilidades u otros incidentes de seguridad relacionados con los productos Softing pueden enviarse al PSIRT de Softing. El PSIRT de Softing coordina y mantiene la comunicación con todos las partes implicadas, tanto internas como externas, para poder dar una respuesta adecuada a cualquier problema de seguridad que se identifique.
Revelar las vulnerabilidades nos permite corregirlas e informar de la solución a los clientes que utilizan los productos en cuestión. Este enfoque puede ayudarnos a seguir haciendo nuestros productos más seguros y, sobre todo, a ayudar a los clientes de Softing a gestionar los riesgos de seguridad.
Si cree haber descubierto una vulnerabilidad de seguridad en un producto Softing, notifíquelo por correo electrónico a psirt[at]softing[dot]com.
Incluya la siguiente información en su informe:
El proceso PSIRT de Softing se basa en el esquema FIRST y sigue sus cuatro pasos:
Descubrimiento, selección, reparación y divulgación.
Softing se asegurará de que la información sea enviada a un grupo seleccionado de empleados de Softing con experiencia en la gestión de incidentes de este tipo: el Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Softing. Ni empleados no autorizados ni usuarios externos tendrán acceso a la información que usted envíe.
Además, Softing se asegurará de que la identidad y la información de contacto del experto en seguridad se mantengan confidenciales y no se publiquen en ningún comunicado público (avisos y boletines) a menos que el experto en seguridad así lo solicite. El equipo PSIRT de Softing investigará la vulnerabilidad notificada y se pondrá en contacto con usted lo antes posible.
El PSIRT de Softing investiga todos los informes de problemas de seguridad recibidos y publica avisos de seguridad sobre vulnerabilidades confirmadas que afectan directamente a los productos de Softing y que requieren una actualización del software u otra acción por parte del cliente. Como parte de su constante esfuerzo por ayudar a los operadores a hacer frente a los riesgos de seguridad y garantizar el funcionamiento protegido de los sistemas, el equipo PSIRT de Softing publica información que los operadores necesitan para evaluar las ramificaciones de una vulnerabilidad de seguridad.
Publicamos información sobre vulnerabilidades en los productos Softing y avisos de seguridad actualizados o nuevos en nuestras páginas web.
Haga clic aquí para descargar nuestra clave PGP
Huella: 220C 4E9E 9A71 17BB C8E1 F863 0D5C 307C CACE DEDC
Idiomas: Alemán o inglés
Transmisión: preferiblemente cifrada
ID | Título | CVE | Puntuación CVSS | Productos | Fecha | Descargar |
SYT-2024-2 | Vulnerabilidad de falta de liberación de memoria en uaToolkit Embedded y smartLink | CVE-2024-25075 | 6,5 | uaToolkit Embedded | 09.03.2024 | |
SYT-2024-1 | Vulnerabilidad de scripting entre sitios en TH SCOPE | CVE-2023-37571 | 9,8 | TH SCOPE | 24.01.2024 | HTML JSON |
ID | Título | CVE | Puntuación CVSS | Productos | Fecha | Descargar |
SYT-2023-9 | Múltiples vulnerabilidades en edgeConnector, edgeAggregator y Secure Integration Server | CVE-2023-27335 CVE-2023-38125 CVE-2023-38126 | 6,6 7,2 7,2 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-8 | Vulnerabilidad "Path Traversal" en edgeConnector, edgeAggregator y Secure Integration Server | CVE-2023-39482 | 4,9 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
SYT-2023-7 | Vulnerabilidad de tipo "NULL pointer dereference" en edgeConnector, edgeAggregator y Secure Integration Server. | CVE-2023-27336 | 7,5 | edgeConnector edgeAggregator Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-6 | Vulnerabilidad "Relative path transversal" en Secure Integration Server | CVE-2023-39481 | 7,2 | Secure Integration Server | 30.11.2023 | HTML JSON |
SYT-2023-5 | Vulnerabilidad de control de acceso inadecuado en OPC Suite | CVE-2023-37572 | 5,6 | OPC Suite | 29.11.2023 | HTML JSON |
SYT-2023-4 | Vulnerabilidad de validación de entrada inadecuada en edgeConnector Siemens | CVE-2023-6358 | 4,9 | edgeConnector Siemens | 28.11.2023 | HTML JSON |
SYT-2023-3 | Vulnerabilidad de excepción no manejada en SDK OPC UA C++, Secure Integration Server y OPC Suite | CVE-2023-41151 | 7,5 | SDK OPC UA C++ | 07.11.2023 | |
SYT-2023-2 | Vulnerabilidad tipo elusión de restricciones y "relative path transversal" en SDK OPC UA C++ y Secure Integration Server | CVE-2023-29377 CVE-2023-29378 | 7,7 | SDK OPC UA C++ Secure Integration Server | 05.06.2023 | HTML JSON |
SYT-2023-1 | Vulnerabilidad de consumo incontrolado de recursos en SDK OPC UA C++, edgeConnector, edgeAggregator y Secure Integration Server. | CVE-2023-27334 | 7,5 | SDK OPC UA C++ Secure Integration Server edgeConnector edgeAggregator | 05.06.2023 | HTML JSON |
ID | Título | CVE | Puntuación CVSS | Productos | Fecha | Descargar |
SYT-2022-11 | Múltiples vulnerabilidades en smartLink SW-HT | CVE-2022-48192 CVE-2022-48193 | 7,2 | smartLink SW-HT | 29.12.2022 | HTML JSON |
SYT-2022-10 | Múltiples vulnerabilidades en uaToolkit integrado y smartLink HW-DP | CVE-2022-44018 CVE-2022-45920 | 7,5 | uaToolkit integrado smartLink HW-DP | 28.12.2022 | HTML JSON |
SYT-2022-9 | Vulnerabilidad de validación de entrada inadecuada en SDK OPC UA C++, Secure Integration Server, edgeConnector, edgeAggregator, uaGate y OPC Suite. | CVE-2022-37453 | 7,5 | SDK OPC UA C++ Secure Integration Server edgeConnector edgeAggregato uaGate OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-8 | Vulnerabilidad de uso tras liberación de memoria en SDK OPC UA C++ y OPC Suite | CVE-2022-39823 | 7,5 | SDK OPC UA C++ OPC Suite | 14.10.2022 | HTML JSON |
SYT-2022-7 | Vulnerabilidad de tipo "NULL pointer dereference" en SDK OPC UA C++, Secure Integration Server, edgeConnector y edgeAggregator | CVE-2022-1748 | 7,5 | SDK OPC UA C++ Secure Integration Server edgeConnector edgeAggregator | 29.07.2022 | HTML JSON |
SYT-2022-6 | Vulnerabilidad de omisión de autenticación de credenciales predeterminadas en Secure Integration Server, edgeConnector y edgeAggregator | CVE-2022-2336 | 9,8 | Secure Integration Server edgeConnector edgeAggregator | 27.07.2022 | HTML JSON |
SYT-2022-5 | Vulnerabilidad de ejecución remota de código en la funcionalidad de restauración de configuración de Secure Integration Server. | CVE-2022-2334 CVE-2022-1373 CVE-2022-2338 | 7,2 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-4 | Múltiples vulnerabilidades de denegación de servicio en la interfaz FastCGI de Secure Integration Server | CVE-2022-1069 CVE-2022-2337 CVE-2022-2335 CVE-2022-2547 | 7,5 | Secure Integration Server | 27.07.2022 | HTML JSON |
SYT-2022-3 | Múltiples vulnerabilidades en SDK OPC UA .NET Standard y SDK OPC UA .NET | CVE-2022-29862 CVE-2022-29863 CVE-2022-29864 CVE-2022-29865 | 7,5 | SDK OPC UA .NET Standard SDK OPC UA .NET | 22.07.2022 | HTML JSON |
SYT-2022-2 | Vulnerabilidades en el OpenSSL utilizado en el SDK OPC UA C++ | CVE-2022-0778 | 7,5 | SDK OPC UA C++ | 15.03.2022 | HTML JSON |
SYT-2022-1 | Múltiples vulnerabilidades en el SDK OPC UA C++ | CVE-2021-42262 CVE-2021-42577 | 7,5 | SDK OPC UA C++ OPC Suite Secure Integration Server | 09.03.2022 | HTML JSON |
Descripción | Categoría | CVE | Fecha | Producto | Solucionado en la versión |
Posible corrupción de memoria en el controlador BT | Medio | CVE-2021-35093 | 06.12.2021 | mobiLink | N. D. |
CWE 20: Validación incorrecta de entrada | Alto | CVE-2021-40872 | 08.11.2021 | uaToolkit integrado smartLink HW DP | 1.40 previsto para la 1.19 |
CWE 415: Doble liberación de memoria | Alto | CVE-2021-40873 | 08.11.2021 | uaToolkit integrado SDK OPC UA C++ TH SCOPE dataFEED OPC Suite Secure Integration Server edgeConnector uaGates | 1.40 5.66 N. D. 5.18 previsto para la 1.30 3.10 1.73 |
CWE 20: Validación incorrecta de entrada | Medio | CVE-2021-40871 | 08.11.2021 | SDK OPC UA C++ TH SCOPE dataFEED OPC Suite Secure Integration Server | 5.66 N. D. 5.18 previsto para la 1.30 |
Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria | Alto | CVE-2021-32994 | 17.06.2021 | SDK OPC UA C++ | 5,65 |
Recursión infinita en estructuras XML | Alto | CVE: 2021-27432 | 17.02.2021 | SDK OPC UA .NET Standard SDK OPC UA .NET | 2.80 1.48 |
Vulnerabilidad de elevación de privilegios | medio | CVE: 2020-29457 | 15.02.2021 | SDK OPC UA .NET Standard | 2,80 |
Descripción | Categoría | CVE | Fecha | Producto | Solucionado en la versión |
DESBORDAMIENTO DE BÚFER BASADO EN HEAP | Alto | CVE-2020-14524 | 28.07.2020 | SDK OPC Classic | 4.47.1 |
CONSUMO INCONTROLADO DE RECURSOS | Alto | CVE-2020-14522 | 28.07.2020 | SDK OPC Classic | 4.47.1 |
Los servidores no crean números suficientemente aleatorios | Alto | CVE-2019-19135 | 10.03.2020 | SDK .NET Standard | 2,40 |
Los servidores no crean números suficientemente aleatorios | Alto | CVE-2019-19135 | 10.03.2020 | SDK dataFEED C++ | 5,62 |
Descripción | Categoría | CVE | Fecha | Producto | Solucionado en la versión |
Ejecución remota de código autenticado posible | Alto | CVE-2019-15051 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
Escalado de privilegios sudo | Alto | CVE-2019-11526 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
Otra ejecución de código remoto autenticado | Alto | CVE-2019-11527 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
Permisos de usuario unix por defecto | Alto | CVE-2019-11528 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
No se hace ninguna manifestación en cuanto a la exhaustividad o exactitud del listado anterior. Esta información se facilita sin garantía de ningún tipo, ni explícita ni tácita. Nos reservamos el derecho a modificar o actualizar el contenido de este sitio web sin previo aviso y en cualquier momento. La actualización gratuita le permite evitar o limitar las consecuencias de los daños provocados por las vulnerabilidades de seguridad. No nos hacemos responsables de las consecuencias derivadas de cualquier omisión a este respecto. Las vulnerabilidades de seguridad no pueden eliminarse en todos los casos para los productos que ya han llegado al final de su vida útil.
Son las siglas de Common Vulnerabilities and Exposures (CVE) (vulnerabilidades y exposiciones comunes) y se trata de una norma del sector cuyo objetivo es introducir una convención común para nombrar las vulnerabilidades y otros problemas de seguridad de los sistemas informáticos. Las distintas denominaciones de las mismas amenazas por parte de diferentes empresas e instituciones se complementan con un número de serie (p. ej., CVE-2006- 3086) para garantizar una identificación clara de la vulnerabilidad. Esto permite un intercambio ágil de información entre las distintas bases de datos de diferentes fabricantes.