首頁 > 安全研究 > 安全通報 > 安全通告

施耐德工業軟件嚴重漏洞安全通告

發布時間 2018-06-04

漏洞編號


CVE-2018-7784
CVE-2018-7785


漏洞級別


嚴重  廠商自評:10   CVSS分值:官方未評定
嚴重  廠商自評:10   CVSS分值:官方未評定


影響范圍


受影響版本:U.motion server 1.3.4及以下。


漏洞描述


施耐德2018年5月31日發布安全公告通知客戶,旗下產品U.motion builder存在嚴重的遠程代碼執行(RCE)漏洞影響,漏洞編號為CVE-2018-7784、CVE-2018-7785,兩枚漏洞的評分均為10分(滿分)。截至現在,施耐德官方已推出修復補丁。


U.motion 是一款自動化構建解決方案,用于全球商業設施、關鍵制造業和能源行業。U.motion Builder 工具能讓用戶為自己的 U.motion 設備創建項目。


漏洞細節


1.CVE-2018-7784:


程序對提交的數據過濾不嚴,導致輸入的數據被當作代碼執行。通過這個漏洞,攻擊者可以在存在漏洞的機器上遠程執行任意代碼、泄露信息或者引發程序報錯。


2.CVE-2018-7785:


遠程命令注入漏洞,攻擊者可以在無需認證的情況下,于存在漏洞的主機執行任意遠程命令。

 

解決措施


建議相關用戶盡快到施耐德官方網站下載補丁修補漏洞。


下載地址:


https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

 

參考資料


https://www.schneider-electric.com/en/download/document/Umotion_Server_update/

上一篇 下一篇