美国网络安全和基础设施安全局（CISA）近日发布一则安全公告，提醒用户注意Inductive Automation公司的Ignition Gateway中的安全漏洞。

Ignition Gateway产品是由美国工业自动化软件提供商Inductive Automation生产的。使用该产品，组织可以通过网页浏览器监控工业控制系统。根据美国CISA发布的信息，该产品主要在美国的IT、能源和关键制造行业使用。

Ignition Gateway此次被披露的漏洞有三个，包括两个CVSS v3评分为9.8的超危漏洞和一个中危漏洞。如成功利用这些漏洞，远程攻击者可获取敏感信息和以SYSTEM权限执行任意代码。

第一个超危漏洞为CVE-2020-10644，该漏洞源于受影响的产品未能正确验证用户提交的数据，导致反序列化不受信任的数据。

第二个超危漏洞为CVE-2020-12000，该漏洞同样源于产品未能正确验证用户提交的数据，导致反序列化不受信任的数据。

最后一个漏洞为中危漏洞CVE-2020-12004，该漏洞源于受影响的产品缺少对关键功能的身份认证。

Inductive Automation Ignition 8 Gateway 8.0.10之前版本受到上述漏洞的影响。厂商已在8.0.10版本中修复了漏洞，建议用户尽快升级到该版本，以防止漏洞遭到攻击利用。