信息安全研究

咨询热线:400-650-1353
关注公司微信账号

首页 > 信息安全研究 > 工程信息安全漏洞发布

工程信息安全漏洞发布

Siemens SIMATIC WinCC/PCS 7 SQL注入漏洞

CNVD-ID

CNVD-2013-26803

发布时间

2013-06-19

危害级别

(AV:N/AC:L/Au:N/C:P/I:P/A:P)

影响产品

Siemens SIMATIC WinCC 7.x
Siemens SIMATIC PCS 7 8.x

BUGTRAQ ID

60558

CVE ID

CVE-2013-3957

漏洞描述

Siemens SIMATIC WinCC 是监测控制和数据采集SCADA及人机界面HMI系统。Siemens SIMATIC PCS是流程控制系统。
Siemens SIMATIC WinCC/PCS 7
Web Navigator登录界面由于输入过滤不严,存在SQL注入漏洞通过操作数据库,远程攻击者可利用此漏洞提升其权限,根据系统配置,有可能获取完全的系统访问权限,执行任意SQL命令。

参考链接

http://secunia.com/advisories/53805/

漏洞解决方案

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-3
补丁下载:
http://support.automation.siemens.com/WW/view/en/73443294

漏洞发现者

Alexander Tlyapov from Positive Technologies

厂商补丁

Siemens SIMATIC WinCC/PCS 7 SQL注入漏洞的补丁

上一篇:Siemens SIMATIC WinCC/PCS 7硬编码凭证安全绕过漏洞

下一篇:Siemens Scalance X200系列交换机远程权限提升漏洞

返回列表

北京力控华康科技有限公司版权所有 Copyright ©2009-2013 京ICP备11026151号 京公网安备11010802010312号Powered by HuaHao