Компания Siemens выпустила серию обновлений безопасности, закрывающих множество уязвимостей в различных продуктах - от систем промышленной автоматизации до CAD/PLM-приложений. Среди наиболее опасных - уязвимость в Opcenter X с максимальным рейтингом CVSS 10.0, позволяющая неавторизованному удалённому атакующему полностью скомпрометировать приложение. Кроме того, исправлены проблемы в Mendix, где некорректное описание правил доступа могло приводить к непреднамеренному раскрытию конфиденциальных данных, а также уязвимости в RUGGEDCOM, SIMATIC S7-1500, CADRA и многих других линейках. Производитель рекомендует как можно скорее установить доступные патчи или применить временные меры защиты.
Детали уязвимостей
14 июля 2026 года Siemens ProductCERT опубликовал сразу семь бюллетеней, охватывающих уязвимости в Opcenter X, SIDIS Secured SmartPlug, RUGGEDCOM APE1808, IAM Client, CADRA, Mendix Runtime и SIMATIC S7-PLCSIM Advanced. В общей сложности затронуты десятки продуктов, включая коммутаторы SCALANCE, маршрутизаторы RUGGEDCOM ROX, программные пакеты Teamcenter Visualization, Solid Edge, Simcenter и Tecnomatix.
Наибольшую опасность представляет уязвимость CVE-2026-56451 в системе управления производственными операциями Opcenter X. Версии до V2604 включительно некорректно проверяют алгоритм, указанный в заголовке JSON Web Token (JWT). Это позволяет любому удалённому атакующему сформировать произвольный JWT, обойти механизмы аутентификации и выдать себя за любого пользователя, включая администратора. Балл CVSS v4.0 - 10.0, а вектор атаки - из сети без каких-либо привилегий. Для устранения проблемы требуется обновление до V2604 или новее.
Не менее серьёзная ситуация сложилась вокруг платформы Mendix Runtime. Уязвимость CVE-2026-7891 (CVSS 9.1) связана с недостаточным описанием особого поведения сущности System.User в документации по правилам доступа. Разработчики приложений на Mendix могут по незнанию настроить избыточно разрешающие правила для этой сущности, что открывает анонимному пользователю доступ ко всем записям System.User. Последствия - раскрытие чувствительных данных пользователей и потенциальное повышение привилегий. Siemens рекомендует разработчикам пересмотреть свои конфигурации, используя обновлённые руководства.
Ещё одно массовое обновление затронуло большое количество продуктов, использующих IAM Client SDK. Уязвимость CVE-2025-40945 (CVSS 8.5) представляет собой проблему ненадёжного пути поиска (untrusted search path). Аутентифицированный локальный пользователь может за счёт этой уязвимости повысить свои привилегии. Исправления выпущены для COMOS, Designcenter NX, Simcenter 3D, Simcenter Femap, Simcenter Nastran, Simcenter STAR-CCM+, Solid Edge, Teamcenter Visualization и Tecnomatix Plant Simulation.
В бюллетене по CADRA описаны проблемы, связанные с использованием устаревших версий библиотек zlib и Foxit. В частности, версии zlib до 1.2.12 и до 1.3 содержат множество уязвимостей: переполнение буфера, целочисленное переполнение, чтение за границами выделенной памяти. Некоторые из них, например CVE-2022-37434 и CVE-2023-45853, имеют базовый балл 9.8. Также в CADRA затронуты две уязвимости путаницы типов в движке V8 браузера Chromium (CVE-2025-10585, CVE-2025-13223). Для CADRA на данный момент нет исправлений; Siemens рекомендует блокировать доступ к недоверенному внешнему веб-контенту.
Устройства RUGGEDCOM APE1808, работающие под управлением виртуального межсетевого экрана Palo Alto Networks PAN-OS, подвержены трём уязвимостям в PAN-OS: межсайтовый скриптинг (CVE-2026-0266), недостаток авторизации, позволяющий повысить привилегии до root (CVE-2026-0272, CVSS 8.5), и внедрение команд (CVE-2026-0273, CVSS 8.6). Для получения патчей необходимо обратиться в службу поддержки.
SIDIS Secured SmartPlug (интеллектуальная розетка для промышленных применений) до версии V7.26.0310 уязвим из-за устаревших компонентов OpenSSL, OpenSSH, sudo, busybox и libarchive. Уязвимости включают целочисленное переполнение, переполнение стека, чтение за границами, а также возможность отказа в обслуживании (DoS). Ряд проблем имеет высокие баллы: CVE-2022-23303 (9.8), CVE-2025-9230 (7.7 по v4). Рекомендуется обновить прошивку до V7.26.0310.
Для продукта SIMATIC S7-PLCSIM Advanced (средство симуляции ПЛК) пока не выпущено исправление. Уязвимость CVE-2026-54429 (CVSS 6.0) связана с неконтролируемым выделением ресурсов при большом объёме многоадресного трафика. Атакующий в локальном сегменте может исчерпать память приложения и вызвать отказ в обслуживании. В качестве временных мер рекомендуется ограничить многоадресный трафик, отключить привязку виртуального коммутатора S7-PLCSIM к сетевому адаптеру или использовать сетевой режим "Softbus"/"PLCSIM".
Всего в отчётах перечислено более 30 идентификаторов CVE, охватывающих широкий спектр слабых мест: от некорректной проверки входных данных и внедрения команд до переполнения буфера и неправильного управления сессиями. Многие уязвимости потенциально позволяют удалённо выполнить произвольный код с максимальными привилегиями. Siemens подчёркивает, что для эксплуатации многих из них требуется доступ к производственной среде, которая по стандартам безопасности не должна быть публично доступна. Тем не менее, при компрометации внутренней сети злоумышленник может получить полный контроль над устройствами.
Пользователям затронутых продуктов настоятельно рекомендуется незамедлительно установить доступные обновления, а для тех продуктов, где патчи ещё не выпущены, применить указанные производителем меры смягчения последствий.
Ссылки
- https://cert-portal.siemens.com/productcert/html/ssa-096828.html
- https://cert-portal.siemens.com/productcert/html/ssa-104023.html
- https://cert-portal.siemens.com/productcert/html/ssa-288252.html
- https://cert-portal.siemens.com/productcert/html/ssa-470355.html
- https://cert-portal.siemens.com/productcert/html/ssa-585531.html
- https://cert-portal.siemens.com/productcert/html/ssa-814963.html
- https://cert-portal.siemens.com/productcert/html/ssa-828211.html