概述
CVE-2024-32009是一个在Spectrum Power 4中发现的高危权限提升漏洞。
漏洞描述
在Spectrum Power 4(所有版本 < V4.70 SP12 Update 2)中发现了一个安全漏洞。受影响的应用程序由于二进制文件权限设置错误,容易受到本地权限提升攻击,允许任何本地攻击者获取管理权限。
漏洞详情
- 发布日期:2025年11月11日 21:15
- 最后修改:2025年11月11日 21:15
- 远程利用:否
- 信息来源:productcert@siemens.com
受影响产品
以下产品受到CVE-2024-32009漏洞影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Siemens | spectrum_power_4 |
总计受影响供应商:1 | 产品:1
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.8 | CVSS 3.1 | 高 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | 1.8 | 5.9 | productcert@siemens.com |
| 8.5 | CVSS 4.0 | 高 | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | - | - | productcert@siemens.com |
解决方案
更新应用程序到修补版本以修复权限提升漏洞:
- 将Spectrum Power 4更新到V4.70 SP12 Update 2或更高版本
- 验证受影响二进制文件的权限设置
- 应用供应商提供的补丁或升级
- 测试权限提升是否成功修复
参考信息
以下是有关CVE-2024-32009的深度信息、实用解决方案和有价值工具的外部链接:
CWE - 通用弱点枚举
CVE-2024-32009与以下CWE相关:
CWE-266:权限分配不正确
漏洞历史记录
以下表格列出了CVE-2024-32009漏洞随时间的变化:
新CVE接收:由productcert@siemens.com于2025年11月11日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Spectrum Power 4(所有版本 < V4.70 SP12 Update 2)中发现了一个安全漏洞。受影响的应用程序由于二进制文件权限设置错误,容易受到本地权限提升攻击,允许任何本地攻击者获取管理权限。 | |
| 添加 | CVSS V4.0 | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-266 | |
| 添加 | 参考 | https://cert-portal.siemens.com/productcert/html/ssa-339694.html |