-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Siemens producten
Advisory ID     : NCSC-2026-0051
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-38545, CVE-2025-0836, CVE-2025-40587,
                  CVE-2025-40936, CVE-2026-22923, CVE-2026-23715,
                  CVE-2026-23716, CVE-2026-23717, CVE-2026-23718,
                  CVE-2026-23719, CVE-2026-23720, CVE-2026-25655,
                  CVE-2026-25656
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Improper Restriction of Operations within the Bounds
                  of a Memory Buffer
                  Stack-based Buffer Overflow
                  Heap-based Buffer Overflow
                  Out-of-bounds Read
                  Uncontrolled Search Path Element
                  Out-of-bounds Write
                  Missing Authorization
Uitgiftedatum   : 20260210
Toepassing      : Siemens Cpu 1518F-4 Pn/Dp Mfp Firmware
                  Siemens Desigo CC family V6
                  Siemens Desigo CC family V7
                  Siemens Desigo CC family V8
                  Siemens Desigo CC family V9
                  Siemens NX
                  Siemens PS/IGES Parasolid Translator Component
                  Siemens Polarion V2404
                  Siemens Polarion V2410
                  Siemens RUGGEDCOM APE1808
                  Siemens SENTRON Powermanager V6
                  Siemens SENTRON Powermanager V7
                  Siemens SENTRON Powermanager V8
                  Siemens SENTRON Powermanager V9
                  Siemens SIMATIC RTLS Locating Manager
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA00)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA10)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA20)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-0DA30)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA10)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA20)
                  Siemens SIMATIC RTLS Locating Manager (6GT2780-1EA30)
                  Siemens SIMATIC S7
                  Siemens SIMATIC S7-1500
                  Siemens SIMATIC S7-1500 CPU 1518-4 PN/DP MFP
                  (6ES7518-4AX00-1AB0)
                  Siemens SIMATIC S7-1500 CPU 1518-4 PN/DP MFP
                  (6ES7518-4AX00-1AC0)
                  Siemens SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP
                  (6ES7518-4FX00-1AB0)
                  Siemens SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP
                  (6ES7518-4FX00-1AC0)
                  Siemens SINEC NMS
                  Siemens SINEC Network Management System
                  Siemens SIPLUS S7-1500 CPU 1518-4 PN/DP MFP
                  (6AG1518-4AX00-4AC0)
                  Siemens Simcenter Femap
                  Siemens Simcenter Nastran
                  Siemens Siveillance Video V2022 R3
                  Siemens Siveillance Video V2023 R1
                  Siemens Siveillance Video V2023 R2
                  Siemens Siveillance Video V2023 R3
                  Siemens Siveillance Video V2024 R1
                  Siemens Siveillance Video V2025
                  Siemens Solid Edge
                  Siemens User Management Component (UMC)
Versie(s)       :
Platform(s)     :

Beschrijving
   Siemens heeft kwetsbaarheden verholpen in diverse producten als
   Desigo, NX, Polarion, SENTRON, Simcenter, SINEC, SIPORT, Siveillance,
   Solid Edge,

   De kwetsbaarheden stellen een kwaadwillende mogelijk in staat
   aanvallen uit te voeren die kunnen leiden tot de volgende categorieën
   schade:
   - Denial-of-Service (DoS)
   - Manipulatie van gegevens
   - Omzeilen van een beveiligingsmaatregel
   - (Remote) code execution (root/admin rechten)
   - Toegang tot systeemgegevens
   - Verhogen van rechten
   Van de SIPORT Desktop Client Application meldt Siemens dat deze
   verouderd is en niet voorzien van moderne beveiligingsmaatregelen.
   Siemens geeft aan deze ook niet meer in te bouwen en het onderhoud op
   de Desktop Client te stoppen. Siemens adviseert om over te schakelen
   naar de modernere web-management-omgeving. Wel heeft Siemens
   mitigerende maatregelen gepubliceerd in een Security Bulletin, om het
   risico zoveel als mogelijk te beperken tot de migratie is afgerond en
   de vaste Desktop Clients zijn uitgefaseerd.
   Voor succesvol misbruik van de genoemde kwetsbaarheden moet de
   kwaadwillende toegang hebben tot de productie-omgeving. Het is goed
   gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Mogelijke oplossingen
   Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te
   verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn,
   heeft Siemens mitigerende maatregelen gepubliceerd om de risico's
   zoveel als mogelijk te beperken. Zie de bijgevoegde referenties voor
   meer informatie.

   Referenties:
      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-035571.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-311973.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-445819.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-507364.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-535115.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-625934.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssa-965753.html

      Reference
      https://cert-portal.siemens.com/productcert/html/ssb-491780.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=Kmsp
-----END PGP SIGNATURE-----