NCSC NL | Beveiligingsadviezen

Beveilingsadvies; NCSC-2026-0051 [1.0.0]

Beveiligingsadvies: NCSC-2026-0051 [1.0.0]
Publicatie: 10-02-2026 13:27 (Europe/Amsterdam)
Prioriteit: Normaal
Betreft: Kwetsbaarheden verholpen in Siemens producten

Kenmerken

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Improper Restriction of Operations within the Bounds of a Memory Buffer
Stack-based Buffer Overflow
Heap-based Buffer Overflow
Out-of-bounds Read
Uncontrolled Search Path Element
Out-of-bounds Write
Missing Authorization

Omschrijving

Siemens heeft kwetsbaarheden verholpen in diverse producten als Desigo, NX, Polarion, SENTRON, Simcenter, SINEC, SIPORT, Siveillance, Solid Edge,

De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die kunnen leiden tot de volgende categorieën schade:

Denial-of-Service (DoS)
Manipulatie van gegevens
Omzeilen van een beveiligingsmaatregel
(Remote) code execution (root/admin rechten)
Toegang tot systeemgegevens
Verhogen van rechten

Van de SIPORT Desktop Client Application meldt Siemens dat deze verouderd is en niet voorzien van moderne beveiligingsmaatregelen. Siemens geeft aan deze ook niet meer in te bouwen en het onderhoud op de Desktop Client te stoppen. Siemens adviseert om over te schakelen naar de modernere web-management-omgeving. Wel heeft Siemens mitigerende maatregelen gepubliceerd in een Security Bulletin, om het risico zoveel als mogelijk te beperken tot de migratie is afgerond en de vaste Desktop Clients zijn uitgefaseerd.

Voor succesvol misbruik van de genoemde kwetsbaarheden moet de kwaadwillende toegang hebben tot de productie-omgeving. Het is goed gebruik een dergelijke omgeving niet publiek toegankelijk te hebben.

Oplossingen

Siemens heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Voor de kwetsbaarheden waar nog geen updates voor zijn, heeft Siemens mitigerende maatregelen gepubliceerd om de risico's zoveel als mogelijk te beperken. Zie de bijgevoegde referenties voor meer informatie.

Referenties

CVE's

CVE-2023-38545 - CVSS (v3) 9.8
CVE-2025-0836 - CVSS (v4) 5.3
CVE-2025-40587 - CVSS (v4) 6.2
CVE-2025-40936 - CVSS (v4) 7.7
CVE-2026-22923 - CVSS (v4) 8.5
CVE-2026-23715 - CVSS (v4) 8.5
CVE-2026-23716 - CVSS (v4) 8.5
CVE-2026-23717 - CVSS (v4) 8.5
CVE-2026-23718 - CVSS (v4) 8.5
CVE-2026-23719 - CVSS (v4) 8.5
CVE-2026-23720 - CVSS (v4) 8.5
CVE-2026-25655 - CVSS (v4) 8.5
CVE-2026-25656 - CVSS (v4) 8.5

Producten

Siemens

Cpu 1518F-4 Pn/Dp Mfp Firmware

Desigo CC family V6

Desigo CC family V7

Desigo CC family V8

Desigo CC family V9

PS/IGES Parasolid Translator Component

Polarion V2404

Polarion V2410

RUGGEDCOM APE1808

SENTRON Powermanager V6

SENTRON Powermanager V7

SENTRON Powermanager V8

SENTRON Powermanager V9

SIMATIC RTLS Locating Manager

SIMATIC RTLS Locating Manager (6GT2780-0DA00)

SIMATIC RTLS Locating Manager (6GT2780-0DA10)

SIMATIC RTLS Locating Manager (6GT2780-0DA20)

SIMATIC RTLS Locating Manager (6GT2780-0DA30)

SIMATIC RTLS Locating Manager (6GT2780-1EA10)

SIMATIC RTLS Locating Manager (6GT2780-1EA20)

SIMATIC RTLS Locating Manager (6GT2780-1EA30)

SIMATIC S7

SIMATIC S7-1500

SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AB0)

SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (6ES7518-4AX00-1AC0)

SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AB0)

SIMATIC S7-1500 CPU 1518F-4 PN/DP MFP (6ES7518-4FX00-1AC0)

SINEC NMS

SINEC Network Management System

SIPLUS S7-1500 CPU 1518-4 PN/DP MFP (6AG1518-4AX00-4AC0)

Simcenter Femap

Simcenter Nastran

Siveillance Video V2022 R3

Siveillance Video V2023 R1

Siveillance Video V2023 R2

Siveillance Video V2023 R3

Siveillance Video V2024 R1

Siveillance Video V2025

Solid Edge

User Management Component (UMC)

Disclaimer

The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.