CVE-2020-10939| Phoenix Contact PC WORX SRT权限提升漏洞通告
发布时间 2020-04-220x00 漏洞概述
CVE ID |
CVE-2020-10939 |
时 间 |
2020-04-22 |
类 型 |
EOP |
等 级 |
高危 |
远程利用 |
否 |
影响范围 |
PHOENIX CONTACT PC WORX SRT <=1.14 |
0x01 漏洞详情
Phoenix Contact PC WORX SRT是德国菲尼克斯电气(Phoenix Contact)公司的一款可编程逻辑控制器。
Phoenix Contact PC WORX SRT 1.14及之前版本中存在权限提升漏洞,该漏洞源于不安全的默认路径权限。攻击者可利用该漏洞提升权限。CVSS评分7.8。
PC WORX SRT是Phoenix Contact应用中的服务程序。该程序的安装路径配置存在不安全的权限,该权限允许任何未授权用户将任意文件写入该服务的所有配置文件和二进制文件所在的安装目录。
攻击者可以利用此漏洞用恶意二进制文件覆盖主要的“ PC WORX SRT”服务,导致以系统权限运行恶意代码。
0x02 处置建议
目前厂商暂未发布修复措施,建议使用此软件的用户随时关注厂商主页以获取解决办法:
https://www.phoenixcontact.com/
0x03 相关新闻
https://www.tenable.com/cve/CVE-2020-10939
0x04 参考链接
https://cert.vde.com/en-us/advisories/vde-2020-012
https://nvd.nist.gov/vuln/detail/CVE-2020-10939
https://www.cnvd.org.cn/flaw/show/CNVD-2020-20687
0x05 时间线
2020-03-27 CVE发布该漏洞