多款罗克韦尔控制器输入验证错误漏洞安全通告
发布时间 2019-04-26漏洞编号和级别
CVE编号:CVE-2019-10955,危险级别:高危,CVSS分值:7.1
影响版本及产品
Series A, All Versions
Series B, v15.002 and earlier
CompactLogix 5370 L1 controllers v30.014 and earlier
CompactLogix 5370 L2 controllers v30.014 and earlier
CompactLogix 5370 L3 controllers (includes CompactLogix GuardLogix controllers) v30.014 and earlier
漏洞概述
MicroLogix 1400 Controllers Series A等是美国罗克韦尔公司的可编程逻辑控制器。
多款罗克韦尔可编程逻辑控制器 (PLCs) 产品中被曝严重漏洞,可被远程攻击者用于将用户重定向至恶意站点。
ICS-CERT将该漏洞描述为开放的重定向漏洞,和运行在这些设备上的 web 服务器有关。该web服务器接受来自PLCs web接口的用户输入,远程未认证攻击者可注入恶意链接,将用户从控制器的web服务器重定向至任意站点。
漏洞验证
暂无POC/EXP。
修复建议
参考链接
京公网安备11010802024551号