首頁 > 安全研究 > 安全通報 > 安全通告

Phoenix Contact Automation Worx多個漏洞安全通告

發布時間 2019-06-26

漏洞編號和級別


CVE編號:CVE-2019-12869,危險級別:低危,CVSS分值廠商自評:3.3,官方未評定
CVE編號:CVE-2019-12870,危險級別:高危,CVSS分值廠商自評:7.8,官方未評定

CVE編號:CVE-2019-12871,危險級別:高危,CVSS分值廠商自評:7.8,官方未評定


影響版本


受影響的版本


適用于Phoenix Contact Automation Worx Software Suite中的PC Worx 1.86及之前版本、PC Worx Express 1.86及之前版本和Config+ 1.86及之前版本。


漏洞概述


Phoenix Contact Automation Worx Software Suite是德國菲尼克斯電氣(Phoenix Contact)公司的一套自動化Worx軟件套件。PC Worx是其中的一套控制器編程軟件。Config+是其中的一套用于配置和診斷INTERBUS系統的軟件。


Phoenix Contact Automation Worx中存在多個漏洞,具體如下:


CVE-2019-12869:


該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。


CVE-2019-12870:


該漏洞源于在訪問指針之前缺少適當的指針初始化。攻擊者可以利用此漏洞在當前進程的上下文中執行代碼

。

CVE-2019-12871:


該漏洞源于在對對象執行操作之前缺乏驗證對象是否存在。攻擊者可以利用此漏洞在當前進程的上下文中執行代碼。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:

https://www.phoenixcontact.com/


參考鏈接


https://www.zerodayinitiative.com/advisories/ZDI-19-579/
https://www.zerodayinitiative.com/advisories/ZDI-19-575/
https://www.zerodayinitiative.com/advisories/ZDI-19-576/ 

上一篇 下一篇