美国网络安全和基础设施安全局(CISA)1月26日发布一则安全公告,警告工业企业日本电气设备公司Fuji Electric生产的SCADA/HMI产品存在多个高危漏洞。
Tellus Lite V-Simulator 4.0.10.0之前版本和V-Server Lite 4.0.10.0之前版本受到影响。
Tellus和V-Server SCADA/HMI用于远程监视和控制工厂中的设备,广泛用于关键制造行业。
该公告中包含的漏洞包括基于栈的缓冲区溢出、越界读取、越界写入、未初始化指针的访问以及基于堆的缓冲区溢出漏洞,攻击者可以利用这些漏洞在脆弱的应用程序上执行任意代码。攻击者可以通过诱使目标用户打开恶意项目文件来触发这些漏洞。
根据CISA发布的安全公告,成功利用这些漏洞,攻击者可以该应用程序的权限执行代码。
这些漏洞的编号为CVE-2021-22637,CVE-2021-22655,CVE-2021-22653,CVE-2021-22639和CVE-2021-22641,CVSS v3基准评分均为7.8。
发现漏洞的研究人员通过Zero Day Initiative(ZDI)向美国ICS-CERT报告了漏洞。根据ZDI发布的信息,这些漏洞皆源于对用户提交的数据缺少适当的验证,触发缓冲区溢出,最终导致执行任意代码。
由于该厂商未能在ZDI的120天期限内修复漏洞,在厂商发布补丁之前,这些漏洞已被公开披露。
作者:Pierluigi Paganini
来源:Security Affairs
来源:freebuf.com 2021-01-29 16:21:38 by: 偶然路过的围观群众
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册