概述
CVE-2024-32008是一个在西门子Spectrum Power 4中发现的安全漏洞,该漏洞被评定为高风险级别,CVSS 4.0评分为8.5分。
漏洞描述
在Spectrum Power 4(所有低于V4.70 SP12 Update 2的版本)中发现了一个漏洞。受影响的应用程序由于在本地主机上暴露了调试接口,容易受到本地权限提升攻击。这使得任何本地用户都能够以管理应用程序用户的身份获得代码执行权限。
漏洞详情
- 发布日期:2025年11月11日 21:15
- 最后修改:2025年11月11日 21:15
- 远程利用:否
- 信息来源:productcert@siemens.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Siemens | spectrum_power_4 |
总计受影响厂商:1 | 产品:1
CVSS评分
CVSS 3.1
- 评分:7.8
- 严重性:高
- 向量:AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 来源:productcert@siemens.com
CVSS 4.0
- 评分:8.5
- 严重性:高
- 向量:AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
- 来源:productcert@siemens.com
解决方案
- 将Spectrum Power 4更新到V4.70 SP12 Update 2版本以修复权限提升漏洞
- 限制对调试接口的访问
- 审查应用程序用户权限
相关参考
URL:https://cert-portal.siemens.com/productcert/html/ssa-339694.html
CWE关联
CWE-648:特权API的不正确使用
CAPEC关联
- CAPEC-107:跨站追踪
- CAPEC-234:劫持特权进程
漏洞时间线
新CVE接收:由productcert@siemens.com于2025年11月11日提交
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 漏洞描述内容 | |
| 添加 | CVSS V4.0 | 完整向量 | |
| 添加 | CVSS V3.1 | 完整向量 | |
| 添加 | CWE | CWE-648 | |
| 添加 | 参考 | 西门子安全公告链接 |