CVE-2020-10607| Advantech WebAccess缓冲区溢出漏洞通告
发布时间 2020-04-220x00 漏洞概述
|
CVE ID |
CVE-2020-10607 |
时 间 |
2020-04-22 |
|
类 型 |
BO |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
Advantech WebAccess <=8.4.2 |
0x01 漏洞详情
Advantech WebAccess是中国台湾研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件。该软件支持动态图形显示和实时数据控制,并提供远程控制和管理自动化设备的功能。
Advantech WebAccess 8.4.2及之前版本中存在缓冲区溢出漏洞,该漏洞源于程序没有正确校验用户提交数据的长度。攻击者可利用该漏洞执行代码。CVSS评分8.8。
0x02 处置建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.advantech.com.cn/
此外,建议相关用户应采取的其他安全防护措施如下:
(1) 最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问;
(2) 定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离;
(3) 当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),并确认VPN可能存在的漏洞,需将VPN更新到最新版本。
0x03 相关新闻
https://www.auscert.org.au/bulletins/ESB-2020.1084/
0x04 参考链接
https://www.us-cert.gov/ics/advisories/icsa-20-086-01
https://nvd.nist.gov/vuln/detail/CVE-2020-10607
https://www.cnvd.org.cn/flaw/show/CNVD-2020-19926
0x05 时间线
2020-03-26 CVE发布该漏洞
京公网安备11010802024551号