freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美CISA警告Fuji Electric Tellus Lite V-Simulator和V-Ser...
2021-01-29 16:21:38

美国网络安全和基础设施安全局(CISA)1月26日发布一则安全公告,警告工业企业日本电气设备公司Fuji Electric生产的SCADA/HMI产品存在多个高危漏洞。

Tellus Lite V-Simulator 4.0.10.0之前版本和V-Server Lite 4.0.10.0之前版本受到影响。

Tellus和V-Server SCADA/HMI用于远程监视和控制工厂中的设备,广泛用于关键制造行业。

该公告中包含的漏洞包括基于栈的缓冲区溢出、越界读取、越界写入、未初始化指针的访问以及基于堆的缓冲区溢出漏洞,攻击者可以利用这些漏洞在脆弱的应用程序上执行任意代码。攻击者可以通过诱使目标用户打开恶意项目文件来触发这些漏洞。

根据CISA发布的安全公告,成功利用这些漏洞,攻击者可以该应用程序的权限执行代码。

这些漏洞的编号为CVE-2021-22637,CVE-2021-22655,CVE-2021-22653,CVE-2021-22639和CVE-2021-22641,CVSS v3基准评分均为7.8。

发现漏洞的研究人员通过Zero Day Initiative(ZDI)向美国ICS-CERT报告了漏洞。根据ZDI发布的信息,这些漏洞皆源于对用户提交的数据缺少适当的验证,触发缓冲区溢出,最终导致执行任意代码。

由于该厂商未能在ZDI的120天期限内修复漏洞,在厂商发布补丁之前,这些漏洞已被公开披露。

作者:Pierluigi Paganini
来源:Security Affairs

本文作者:, 转载请注明来自FreeBuf.COM

# 资讯
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑