CVE-2025-40745
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Podatność w produktach Siemens pozwala nieuwierzytelnionemu zdalnemu atakującemu na przeprowadzenie ataku typu man-in-the-middle z powodu nieprawidłowej walidacji certyfikatów klienta podczas łączenia z punktem końcowym Analytics Service.
Ocena ryzyka
Atakujący może przechwycić i modyfikować komunikację między aplikacją a serwerem analitycznym, co prowadzi do wycieku wrażliwych danych lub naruszenia integralności przesyłanych informacji.
Rekomendacja
Zaleca się natychmiastową aktualizację wszystkich dotkniętych produktów do wersji zawierających poprawkę oraz wdrożenie mechanizmów wzajemnego uwierzytelniania TLS.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been identified in Siemens Software Center (All versions < V3.5.8.2), Simcenter 3D (All versions < V2506.6000), Simcenter Femap (All versions < V2506.0002), Simcenter STAR-CCM+ (All versions < V2602), Solid Edge SE2025 (All versions < V225.0 Update 13), Solid Edge SE2026 (All versions < V226.0 Update 04), Tecnomatix Plant Simulation (All versions < V2504.0008). Affected applications do not properly validate client certificates to connect to Analytics Service endpoint. This could allow an unauthenticated remote attacker to perform man in the middle attacks.

