发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

Johnson Controls exacqVision Enterprise System Manager 5.12.2

不受影响系统：

Johnson Controls exacqVision Enterprise System Manager 19.03

描述：

---

BUGTRAQ  ID: 108755
CVE(CAN) ID: CVE-2019-7588

江森自控通过改进的exacqVision企业版视频管理解决方案，推出了一种简化的企业视频管理方法。企业管理器以前作为企业系统管理器单独出售，现在是exacqVision企业版VMS的集成部分，使用户可以随时访问增强的运行状况监控，用户管理，更新管理和高可用性功能，而无需额外成本。

在此漏洞中，默认情况下，对授权的低权限系统帐户授予对目录的过多权限。这可能最终被攻击者利用来进行应用程序文件更改或启用权限提升攻击。

<*来源：@bzyo_
  
  链接：https://ics-cert.us-cert.gov/advisories/ICSA-19-164-01
*>

建议：

---

厂商补丁：

Johnson Controls
----------------
Johnson Controls已经为此发布了一个安全公告（ICSA-19-164-01）以及相应补丁:
ICSA-19-164-01：Johnson Controls exacqVision Enterprise System Manager
链接：https://ics-cert.us-cert.gov/advisories/ICSA-19-164-01

补丁下载：

浏览次数：1394
严重程度：0（网友投票）