CVE-2025-40566

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-40566
A vulnerability has been identified in SIMATIC PCS neo V4.1 (All versions < V4.1 Update 3), SIMATIC PCS neo V5.0 (All versions < V5.0 Update 1). Affected products do not correctly invalidate user sessions upon user logout. This could allow a remote unauthenticated attacker, who has obtained the session token by other means, to re-use a legitimate user's session even after logout.

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://cert-portal.siemens.com/productcert/html/ssa-339086.html Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:siemens:simatic_pcs_neo:*:*:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:*:-:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:4.1:update_1:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:4.1:update_2:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:5.0:-:*:*:*:*:*:*
History

22 Aug 2025, 20:28

Type Values Removed Values Added
First Time Siemens simatic Pcs Neo
Siemens
CPE cpe:2.3:a:siemens:simatic_pcs_neo:*:*:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:4.1:update_1:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:4.1:update_2:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:5.0:-:*:*:*:*:*:*
cpe:2.3:a:siemens:simatic_pcs_neo:*:-:*:*:*:*:*:*
Summary
  • (es) Se ha identificado una vulnerabilidad en SIMATIC PCS neo V4.1 (todas las versiones anteriores a V4.1 Update 3) y SIMATIC PCS neo V5.0 (todas las versiones anteriores a V5.0 Update 1). Los productos afectados no invalidan correctamente las sesiones de usuario al cerrar sesión. Esto podría permitir que un atacante remoto no autenticado, que haya obtenido el token de sesión por otros medios, reutilice la sesión de un usuario legítimo incluso después de cerrar sesión.
References () https://cert-portal.siemens.com/productcert/html/ssa-339086.html - () https://cert-portal.siemens.com/productcert/html/ssa-339086.html - Vendor Advisory

13 May 2025, 10:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-05-13 10:15

Updated : 2025-08-22 20:28

NVD link : CVE-2025-40566

Mitre link : CVE-2025-40566

CVE.ORG link : CVE-2025-40566

JSON object : View

Products Affected

siemens

  • simatic_pcs_neo
CWE
CWE-613

Insufficient Session Expiration