美CISA警告Fuji Electric Tellus Lite V-Simulator和V-Server Lite存在严重漏洞 – 作者:偶然路过的围观群众

美国网络安全和基础设施安全局(CISA)1月26日发布一则安全公告,警告工业企业日本电气设备公司Fuji Electric生产的SCADA/HMI产品存在多个高危漏洞。

Tellus Lite V-Simulator 4.0.10.0之前版本和V-Server Lite 4.0.10.0之前版本受到影响。

Tellus和V-Server SCADA/HMI用于远程监视和控制工厂中的设备,广泛用于关键制造行业。

该公告中包含的漏洞包括基于栈的缓冲区溢出、越界读取、越界写入、未初始化指针的访问以及基于堆的缓冲区溢出漏洞,攻击者可以利用这些漏洞在脆弱的应用程序上执行任意代码。攻击者可以通过诱使目标用户打开恶意项目文件来触发这些漏洞。

根据CISA发布的安全公告,成功利用这些漏洞,攻击者可以该应用程序的权限执行代码。

这些漏洞的编号为CVE-2021-22637,CVE-2021-22655,CVE-2021-22653,CVE-2021-22639和CVE-2021-22641,CVSS v3基准评分均为7.8。

发现漏洞的研究人员通过Zero Day Initiative(ZDI)向美国ICS-CERT报告了漏洞。根据ZDI发布的信息,这些漏洞皆源于对用户提交的数据缺少适当的验证,触发缓冲区溢出,最终导致执行任意代码。

由于该厂商未能在ZDI的120天期限内修复漏洞,在厂商发布补丁之前,这些漏洞已被公开披露。

作者:Pierluigi Paganini
来源:Security Affairs

来源:freebuf.com 2021-01-29 16:21:38 by: 偶然路过的围观群众

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论