首頁 > 安全研究 > 安全通報 > 安全通告

EZAutomation多個緩沖區錯誤漏洞安全通告

發布時間 2019-09-06

漏洞編號和級別


CVE編號:CVE-2019-13522,危險級別:高危,CVSS分值:7.8

CVE編號:CVE-2019-13518,危險級別:高危,CVSS分值:7.8


影響版本


受影響的版本


CVE-2019-13522

EZ PLC Editor Versions 1.8.41 and prior


CVE-2019-13518

EZ Touch Editor Versions 2.1.0 and prior


漏洞概述


EZAutomation是AVG旗下的一個系列。AVG是一家做工業觸摸屏和可編程控制器的美國電氣公司。EZAutomation系列下有PLC產品,觸摸屏,編碼器,跑馬燈,操作界面各種高性價產品。近日EZAutomation發布兩個緩沖區錯誤漏洞如下:


CVE-2019-13522

EZAutomation EZ PLC Editor是美國EZAutomation公司的一套PLC(可編程邏輯控制器)編程軟件。EZAutomation EZ PLC Editor 1.8.41及之前版本中存在緩沖區錯誤漏洞。攻擊者可借助特制的項目文件利用該漏洞損壞內存并以該應用程序權限執行代碼。


CVE-2019-13518

EZAutomation EZ Touch Editor是美國EZAutomation公司的一套HMI(人機界面)編程軟件。EZAutomation EZ Touch Editor 2.1.0及之前版本中存在緩沖區錯誤漏洞。攻擊者可借助特制的項目文件利用該漏洞以該應用程序的權限執行代碼。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,下載鏈接:https://www.ezautomation.net/access.php。


參考鏈接


https://www.us-cert.gov/ics/advisories/icsa-19-246-01

https://www.us-cert.gov/ics/advisories/icsa-19-246-02


上一篇 下一篇