EZAutomation多个缓冲区错误漏洞安全通告
发布时间 2019-09-06●漏洞编号和级别
CVE编号:CVE-2019-13522,危险级别:高危,CVSS分值:7.8
CVE编号:CVE-2019-13518,危险级别:高危,CVSS分值:7.8
●影响版本
受影响的版本
CVE-2019-13522
EZ PLC Editor Versions 1.8.41 and prior
CVE-2019-13518
EZ Touch Editor Versions 2.1.0 and prior
●漏洞概述
EZAutomation是AVG旗下的一个系列。AVG是一家做工业触摸屏和可编程控制器的美国电气公司。EZAutomation系列下有PLC产品,触摸屏,编码器,跑马灯,操作界面各种高性价产品。近日EZAutomation发布两个缓冲区错误漏洞如下:
CVE-2019-13522
EZAutomation EZ PLC Editor是美国EZAutomation公司的一套PLC(可编程逻辑控制器)编程软件。EZAutomation EZ PLC Editor 1.8.41及之前版本中存在缓冲区错误漏洞。攻击者可借助特制的项目文件利用该漏洞损坏内存并以该应用程序权限执行代码。
CVE-2019-13518
EZAutomation EZ Touch Editor是美国EZAutomation公司的一套HMI(人机界面)编程软件。EZAutomation EZ Touch Editor 2.1.0及之前版本中存在缓冲区错误漏洞。攻击者可借助特制的项目文件利用该漏洞以该应用程序的权限执行代码。
●漏洞验证
暂无POC/EXP。
●修复建议
目前厂商已发布升级补丁以修复漏洞,下载链接:https://www.ezautomation.net/access.php。
●参考链接
https://www.us-cert.gov/ics/advisories/icsa-19-246-01
https://www.us-cert.gov/ics/advisories/icsa-19-246-02
京公网安备11010802024551号