CVE-2020-10607| Advantech WebAccess缓冲区溢出漏洞通告

发布时间 2020-04-22

0x00 漏洞概述



CVE   ID

CVE-2020-10607

 

2020-04-22

   

BO

 

高危

远程利用

影响范围

Advantech WebAccess <=8.4.2




0x01 漏洞详情





Advantech WebAccess是中国台湾研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件。该软件支持动态图形显示和实时数据控制,并提供远程控制和管理自动化设备的功能。

Advantech WebAccess 8.4.2及之前版本中存在缓冲区溢出漏洞,该漏洞源于程序没有正确校验用户提交数据的长度。攻击者可利用该漏洞执行代码。CVSS评分8.8。


0x02 处置建议


目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.advantech.com.cn/

此外,建议相关用户应采取的其他安全防护措施如下:

(1) 最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问;

(2) 定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离;

(3) 当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),并确认VPN可能存在的漏洞,需将VPN更新到最新版本。


0x03 相关新闻


https://www.auscert.org.au/bulletins/ESB-2020.1084/


0x04 参考链接


https://www.us-cert.gov/ics/advisories/icsa-20-086-01

https://nvd.nist.gov/vuln/detail/CVE-2020-10607

https://www.cnvd.org.cn/flaw/show/CNVD-2020-19926


0x05 时间线


2020-03-26 CVE发布该漏洞