施耐德工业软件严重漏洞安全通告
发布时间 2018-06-04漏洞编号
CVE-2018-7784
CVE-2018-7785
漏洞级别
严重 厂商自评:10 CVSS分值:官方未评定
严重 厂商自评:10 CVSS分值:官方未评定
影响范围
受影响版本:U.motion server 1.3.4及以下。
漏洞描述
施耐德2018年5月31日发布安全公告通知客户,旗下产品U.motion builder存在严重的远程代码执行(RCE)漏洞影响,漏洞编号为CVE-2018-7784、CVE-2018-7785,两枚漏洞的评分均为10分(满分)。截至现在,施耐德官方已推出修复补丁。
U.motion 是一款自动化构建解决方案,用于全球商业设施、关键制造业和能源行业。U.motion Builder 工具能让用户为自己的 U.motion 设备创建项目。
漏洞细节
1.CVE-2018-7784:
程序对提交的数据过滤不严,导致输入的数据被当作代码执行。通过这个漏洞,攻击者可以在存在漏洞的机器上远程执行任意代码、泄露信息或者引发程序报错。
2.CVE-2018-7785:
远程命令注入漏洞,攻击者可以在无需认证的情况下,于存在漏洞的主机执行任意远程命令。
解决措施
建议相关用户尽快到施耐德官方网站下载补丁修补漏洞。
下载地址:
https://www.schneider-electric.com/en/download/document/Umotion_Server_update/
参考资料
https://www.schneider-electric.com/en/download/document/Umotion_Server_update/
京公网安备11010802024551号