其他
施耐德电气修复建筑自动化软件U.motion Builder中的漏洞
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月23日讯 施耐德电气公司近日修复了 U.motion Builder 软件中存在的四个漏洞,包括两个严重的命令执行漏洞。施耐德和ICS-CERT 均发布了安全公告,U.motion Builder 1.3.4 之前的版本均受到影响。
漏洞详情
漏洞详情
施耐德电气公司的 U.motion 是一套建筑自动化解决方案,目前被广泛用于全球范围内的各商业设施、关键制造和能源行业。U.motion Builder 是专为 U.motion 设备创建项目的一款工具,允许用户为各类 U.motion 设备创建出与需求相适应的项目。
基于堆栈的缓冲区溢出漏洞(CVE-2018-7784)
攻击者可利用该漏洞执行代码,读取堆栈或在正在运行的应用程序造成分段错误。CVSS v3的漏洞评分为10.0分。
远程代码注入漏洞(CVE-2018-7785)
远程命令注入漏洞,允许绕过身份验证。CVSS v3的漏洞评分为10.0分。
这两个漏洞属于高危漏洞,可被低水平的攻击者远程利用。
Web页面生成期间不正确的输入中和漏洞(跨站脚本)(CVE-2018-7786)
这是一个跨站脚本漏洞,允许注入恶意脚本。CVSS v3的漏洞评分为6.1分。
不正确的输入验证漏洞(CVE-2018-7787)
这个漏洞是因在 HTTP GET 请求中对上下文参数输入验证不正确所致,可能会导致敏感信息泄露。CVSS v3的漏洞评分为5.3分。
施耐德电气已发布固件更新版本1.3.4,建议用户尽快下载并安装该固件版本,参见https://www.schneider-electric.com/en/download/document/Umotion_Server_update/。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1008464727.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容