首页 -> 安全研究

安全研究

安全漏洞
Schneider Electric IGSS 路径遍历漏洞(CVE-2020-7478)

发布日期:2020-03-20
更新日期:2020-03-25

受影响系统:
Schneider Electric Interactive Graphical Scada System <= 14
描述:
CVE(CAN) ID: CVE-2020-7478

Schneider Electric IGSS是一套用于监控和控制工业过程的交互式图形SCADA系统。

使用IGSSupdate服务的Schneider Electric IGSS 14及之前版本,在实现中存在路径遍历漏洞。该漏洞源于未正确地限制受限制目录的路径名。未经身份验证的攻击者可利用该漏洞读取设备上的任意文件。

<*来源:Trend Micro’s Zero Day Initiative (ZDI)
  
  链接:https://www.us-cert.gov/ics/advisories/icsa-20-084-02
*>

建议:
厂商补丁:

Schneider Electric
------------------
Schneider Electric已经提供了IGSS14 14.0.0.20009版本修复了这些漏洞,建议用户更新到最新版本:
http://igss.schneider-electric.com/igss/igssupdates/v140/IGSSUPDATE.zip

也可通过下列临时措施降低风险:
*无需使用此服务安装更新,禁用IGSS Update服务。
*基础设施断网,对可疑人员及资源禁止Windows登录及网络访问。
更多信息,请参考https://www.se.com/ww/en/download/document/SEVD-2020-070-01/

浏览次数:1
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障