Informazioni sulla sicurezza
PSIRT - Team di riferimento per gli incidenti di sicurezza del prodotto
PSIRT di Softing è un team centrale di Softing, incaricato di gestire la ricerca e la notifica delle vulnerabilità relative alla sicurezza. Tutte le segnalazioni su possibili vulnerabilità o altri incidenti di sicurezza relativi ai prodotti Softing possono essere inoltrate al team PSIRT di Softing. PSIRT di Softing coordina e mantiene la comunicazione con tutte le persone coinvolte, sia internamente sia esternamente, in modo da potere fornire una risposta adeguata a qualsiasi problema di sicurezza individuato.
Perché segnalare le vulnerabilità?
La notifica delle vulnerabilità ci consente di correggerle e di informare i clienti che utilizzano i relativi prodotti. Questo approccio può aiutarci a rendere i nostri prodotti sempre più sicuri e soprattutto a supportare i clienti Softing nella gestione dei rischi per la sicurezza.
Se ritenete di aver rilevato una vulnerabilità di sicurezza in un prodotto Softing, segnalatela via e-mail a psirt[at]softing[dot]com.
Preghiamo di allegare alla relazione le seguenti informazioni:
- Informazioni di contatto e disponibilità
- Prodotto interessato, compreso il modello e il numero di versione
- Classificazione della vulnerabilità (buffer overflow, XSS, ...)
- Descrizione dettagliata della vulnerabilità (con verifica, se possibile)
- Effetto della vulnerabilità (se noto)
- Livello attuale di consapevolezza della vulnerabilità (sono previsti piani di notifica oppure è in atto una politica di divulgazione?)
- (Azienda) affiliazione del segnalatore/recuperatore (se il segnalatore/recuperatore è disposto a fornire tali informazioni)
- Punteggio CVSS (se noto)
Cosa accadrà al vostro report?
Il processo PSIRT di Softing si basa sul framework FIRST e segue quattro fasi:
scoperta, analisi, rimedio, notifica.
Softing provvederà a inviare le informazioni a un gruppo selezionato di dipendenti Softing con esperienza nella gestione di incidenti di questo tipo, ovvero il team di riferimento per gli incidenti di sicurezza del prodotto (PSIRT) di Softing. Né i dipendenti non autorizzati né gli utenti esterni avranno accesso alle informazioni inviate.
Inoltre Softing farà in modo che l'identità e i dati di contatto dell'esperto di sicurezza siano mantenuti riservati e non siano pubblicati in alcuna dichiarazione pubblica (avvisi e bollettini), a meno che non sia esplicitamente richiesto dall'esperto di sicurezza. Il team PSIRT di Softing indagherà sulla vulnerabilità segnalata e vi contatterà al più presto.
Rimanete aggiornati
PSIRT di Softing esamina tutte le segnalazioni di problemi di sicurezza e pubblica avvisi di sicurezza sulle vulnerabilità di sicurezza convalidate che riguardano direttamente i prodotti Softing e che richiedono un aggiornamento, un upgrade del software o un'altra azione da parte del cliente. Nell'ambito del costante impegno a sostenere gli operatori nell'affrontare i rischi per la sicurezza e nel garantire il funzionamento protetto dei sistemi, il team PSIRT di Softing pubblica le informazioni necessarie agli operatori per valutare le eventuali ramificazioni di una vulnerabilità della sicurezza.
Rimanete aggiornati con i nostri avvisi di sicurezza
Sulle nostre pagine web pubblichiamo informazioni sulle vulnerabilità dei prodotti Softing e avvisi di sicurezza nuovi o aggiornati.
Contatto Softing PSIRT
Chiavi pubbliche PSIRT Softing
Fare clic qui per scaricare la nostra chiave PGP
Fare clic qui per scaricare la nostra Impronta digitale
Lingue: Tedesco o inglese
Trasmissione: preferibilmente criptata
2025
| ID | Titolo | CVE | Punteggio CVSS | Prodotti | Data | Download |
| CVE-2025-10151 | Il blocco di thread dannoso TCP/IP provoca diversi malfunzionamenti | CVE-2025-10151 | 7,2 | smartLink HW-DP smartLink HW-PN | 28.10.2025 | HTML JSON |
| CVE-2025-10150 | Arresto anomalo del server Web causato dalla scansione TCP porta 80 | CVE-2025-10150 | 8,7 | smartLink HW-DP smartLink HW-PN | 28.10.2025 | HTML JSON |
| CVE-2025-7390 | Bypass del controllo di fiducia del certificato client di un server opc.https mentre è consentita solo la comunicazione sicura | CVE-2025-7390 | 9,1 | OPC UA C++ SDK edgeConnector edgeAggregator | 14.08.2025 |
2024
| ID | Titolo | CVE | Punteggio CVSS | Prodotti | Data | Download |
| SYT-2024-2 | Mancato rilascio della vulnerabilità di memoria in uaToolkit Embedded e smartLink | CVE-2024-25075 | 6,5 | uaToolkit Embedded | 09.03.2024 | |
| SYT-2024-1 | Vulnerabilità sxript intrasito in TH SCOPE | CVE-2023-37571 | 9,8 | TH SCOPE | 24.01.2024 | HTML JSON |
2023
| ID | Titolo | CVE | Punteggio CVSS | Prodotti | Data | Download |
| SYT-2023-9 | Vulnerabilità multiple in edgeConnector, edgeAggregator e Secure Integration Server | CVE-2023-27335 CVE-2023-38125 CVE-2023-38126 | 6.6 7.2 7.2 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
| SYT-2023-8 | Vulnerabilità traversale del percorso in edgeConnector, edgeAggregator e Secure Integration Server | CVE-2023-39482 | 4,9 | edgeConnector edgeAggregator Secure Integration Server | 01.12.2023 | HTML JSON |
| SYT-2023-7 | Vulnerabilità di dereferenziazione del puntatore ZERO in edgeConnector, edgeAggregator e Secure Integration Server | CVE-2023-27336 | 7,5 | edgeConnector edgeAggregator Secure Integration Server | 30.11.2023 | HTML JSON |
| SYT-2023-6 | Vulnerabilità trasversale del percorso relativo in Secure Integration Server | CVE-2023-39481 | 7,2 | Secure Integration Server | 30.11.2023 | HTML JSON |
| SYT-2023-5 | Vulnerabilità del controller degli accessi non corretta in Suite OPC | CVE-2023-37572 | 5,6 | Suite OPC | 29.11.2023 | HTML JSON |
| SYT-2023-4 | Vulnerabilità della convalida di ingresso non corretta in edgeConnector Siemens | CVE-2023-6358 | 4,9 | edgeConnector Siemens | 28.11.2023 | HTML JSON |
| SYT-2023-3 | Vulnerabilità dell'eccezione non catturata in OPC UA C++ SDK, Server OPC e Suite OPC | CVE-2023-41151 | 7,5 | OPC UA C++ SDK | 07.11.2023 | |
| SYT-2023-2 | Bypass delle limitazioni e vulnerabilità trasversale relativa del percorso in OPC UA C++ SDK e in OPC Secure Integration Server | CVE-2023-29377 CVE-2023-29378 | 7,7 | OPC UA C++ SDK Secure Integration Server | 05.06.2023 | HTML JSON |
| SYT-2023-1 | Vulnerabilità del consumo incontrollato di risorse in OPC UA C++ SDK, edgeConnector, edgeAggregator e Secure Integration Server | CVE-2023-27334 | 7,5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregator | 05.06.2023 | HTML JSON |
2022
| ID | Titolo | CVE | Punteggio CVSS | Prodotti | Data | Download |
| SYT-2022-11 | Vulnerabilità multiple in smartLink SW-HT | CVE-2022-48192 CVE-2022-48193 | 7,2 | smartLink SW-HT | 29.12.2022 | HTML JSON |
| SYT-2022-10 | Vulnerabilità multiple in uaToolkit Embedded e smartLink HW-DP | CVE-2022-44018 CVE-2022-45920 | 7,5 | uaToolkit Embedded smartLink HW-DP | 28.12.2022 | HTML JSON |
| SYT-2022-9 | Vulnerabilità nella convalida degli input in OPC UA C++ SDK, Secure Integration Server, edgeConnector, edgeAggregator, uaGate e Suite OPC | CVE-2022-37453 | 7,5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregato uaGate OPC Suite | 14.10.2022 | HTML JSON |
| SYT-2022-8 | Utilizzo dopo vulnerabilità libera in OPC UA C++ SDK e OPC Suite | CVE-2022-39823 | 7,5 | OPC UA C++ SDK OPC Suite | 14.10.2022 | HTML JSON |
| SYT-2022-7 | Vulnerabilità di dereferenziazione del puntatore NULL in OPC UA C++ SDK, Secure Integration Server, edgeConnector ed edgeAggregator | CVE-2022-1748 | 7,5 | OPC UA C++ SDK Secure Integration Server edgeConnector edgeAggregator | 29.07.2022 | HTML JSON |
| SYT-2022-6 | Vulnerabilità di bypass per l'autenticazione delle credenziali predefinite in Secure Integration Server, edgeConnector e edgeAggregator | CVE-2022-2336 | 9,8 | Secure Integration Server edgeConnector edgeAggregator | 27.07.2022 | HTML JSON |
| SYT-2022-5 | Vulnerabilità di esecuzione del codice remoto nella funzionalità di ripristino della configurazione di Secure Integration Server | CVE-2022-2334 CVE-2022-1373 CVE-2022-2338 | 7,2 | Secure Integration Server | 27.07.2022 | HTML JSON |
| SYT-2022-4 | Vulnerabilità multiple di negazione del servizio nell'interfaccia FastCGI di Secure Integration Server | CVE-2022-1069 CVE-2022-2337 CVE-2022-2335 CVE-2022-2547 | 7,5 | Secure Integration Server | 27.07.2022 | HTML JSON |
| SYT-2022-3 | Vulnerabilità multiple in OPC UA .NET SDK Standard e in OPC UA .NET SDK | CVE-2022-29862 CVE-2022-29863 CVE-2022-29864 CVE-2022-29865 | 7,5 | OPC UA .NET Standard SDK OPC UA .NET SDK | 22.07.2022 | HTML JSON |
| SYT-2022-2 | Vulnerabilità in OpenSSL utilizzato in OPC UA C++ SDK | CVE-2022-0778 | 7,5 | OPC UA C++ SDK | 15.03.2022 | HTML JSON |
| SYT-2022-1 | Vulnerabilità multiple in OPC UA C++ SDK | CVE-2021-42262 CVE-2021-42577 | 7,5 | OPC UA C++ SDK OPC Suite Secure Integration Server | 09.03.2022 | HTML JSON |
2021
| Descrizione | Categoria | CVE | Data | Prodotto | Fissato nella versione |
| Possibile corruzione della memoria nel controller BT | Media | CVE-2021-35093 | 06.12.2021 | mobiLink | N. D. |
| CWE 20: Convalida impropria dell'input | Alta | CVE-2021-40872 | 08.11.2021 | uaToolkit Embedded smartLink HW DP | 1.40 previsto per 1.19 |
| CWE 415: libero doppio | Alta | CVE-2021-40873 | 08.11.2021 | uaToolkit Embedded OPC UA C++ SDK TH SCOPE dataFEED OPC Suite Secure Integration Server edgeConnector uaGates | 1.40 5.66 N. D. 5.18 previsto per 1.30 3.10 1.73 |
| CWE 20: Convalida impropria dell'input | Media | CVE-2021-40871 | 08.11.2021 | OPC UA C++ SDK TH SCOPE dataFEED OPC Suite Secure Integration Server | 5.66 N. D. 5.18 previsto per 1.30 |
| Limitazione impropria delle operazioni entro i limiti di un buffer di memoria | Alta | CVE-2021-32994 | 17.06.2021 | OPC UA C++ SDK | 5,65 |
| Ricorsione infinita in strutture XML | Alta | CVE: 2021-27432 | 17.02.2021 | OPC UA .NET Standard SDK OPC UA .NET SDK | 2.80 1.48 |
| Vulnerabilità di elevazione dei privilegi | Media | CVE: 2020-29457 | 15.02.2021 | OPC UA .NET Standard SDK | 2,80 |
2020
| Descrizione | Categoria | CVE | Data | Prodotto | Fissato nella versione |
| OVERFLOW DEL BUFFER BASATO SU HEAP | Alta | CVE-2020-14524 | 28.07.2020 | OPC Classic SDK | 4.47.1 |
| CONSUMO INCONTROLLATO DI RISORSE | Alta | CVE-2020-14522 | 28.07.2020 | OPC Classic SDK | 4.47.1 |
| I server non creano sufficientemente numeri casuali | Alta | CVE-2019-19135 | 10.03.2020 | .NET Standard SDK | 2,40 |
| I server non creano sufficientemente numeri casuali | Alta | CVE-2019-19135 | 10.03.2020 | dataFEED C++ SDK | 5,62 |
2019
| Descrizione | Categoria | CVE | Data | Prodotto | Fissato nella versione |
| Possibilità di esecuzione del codice remoto autenticato | Alta | CVE-2019-15051 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
| Escalation privilegi Sudo | Alta | CVE-2019-11526 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
| Altra esecuzione di codice remoto autenticata | Alta | CVE-2019-11527 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.72.00,1996 |
| Permessi predefiniti dell'utente unix | Alta | CVE-2019-11528 | 10.10.2019 | uaGate SI uaGate MB uaGate840D edgeGate | 1.71.00,1225 |
Softing raccomanda di utilizzare sempre la versione più recente di software/firmware. Queste versioni si trovano nella sezione Supporto e download o nella pagina del rispettivo prodotto.
Non si rilascia alcuna dichiarazione in merito alla completezza o all'accuratezza dell'elenco di cui sopra. Le presenti informazioni sono fornite senza garanzia di alcun tipo, né esplicita né tacita. Ci riserviamo il diritto di modificare o aggiornare il contenuto di questo sito web senza preavviso in qualsiasi momento. L'aggiornamento gratuito consente di prevenire o limitare le conseguenze dei danni derivanti dalle vulnerabilità della sicurezza. Non possiamo essere ritenuti responsabili delle conseguenze derivanti da eventuali omissioni a tale proposito. Le vulnerabilità di sicurezza non possono essere eliminate in ogni caso per i prodotti che hanno già terminato il rispettivo ciclo di vita.
Che cosa significa CVE?
È l'acronimo di Common Vulnerabilities and Exposures (CVE) ed è uno standard industriale che mira a introdurre una convenzione di denominazione comune per le vulnerabilità e altri problemi di sicurezza nei sistemi informatici. La denominazione multipla delle stesse minacce da parte di aziende e istituzioni diverse è integrata da un numero di serie (ad es. CVE-2006-3086) per garantire una chiara identificazione della vulnerabilità. Questo consente un agevole scambio di informazioni tra i vari database dei singoli produttori.
Softing Industrial Support
PSIRT – Product Security Incident Response Team
psirt[at]softing[dot]com