信息安全研究

咨询热线:400-650-1353
关注公司微信账号

首页 > 信息安全研究 > 工程信息安全漏洞发布

工程信息安全漏洞发布

GE Proficy Real-Time Information Portal HTTP GET信息泄露漏洞

CNVD漏洞编号

CNVD-2013-19513

漏洞标题

GE Proficy Real-Time Information Portal HTTP GET信息泄露漏洞

危害级别

是否首次公开

发布时间

2013-01-24

漏洞产生原因

设计错误

影响产品

厂商

产品

版本

General Electric

Proficy Real-Time Information Portal

2.5

General Electric

Proficy Real-Time Information Portal

2.6

General Electric

Proficy Real-Time Information Portal

3.0

General Electric

Proficy Real-Time Information Portal

3.0 SP1

General Electric

Proficy Real-Time Information Portal

3.5

漏洞描述

GE Proficy Real-Time Information Portal是一款Proficy实时信息门户,是GE智能平台实时制造情报应用软件。 在默认情况下,GE Proficy Real-Time Information Portal会在IIS或者Apache Web服务器上在无需验证即可访问的位置上创建文件和文件夹,允许攻击者利用漏洞提交HTTP GET请求获取配置文件和其他敏感信息。

参考信息

CVE ID: CVE-2013-0651 

http://www.us-cert.gov/control_systems/pdf/ICSA-13-022-01.pdf

验证信息

暂无

漏洞解决方案

禁用“Anonymous Authentication”和“Windows Authentication.” 对所有Portal用户要求验证 部署SSL证书对Portal应用通信进行加密。 目前没有详细解决方案提供: http://support.ge-ip.com/

贡献者

General Electric


上一篇:GE Proficy CIMPLICITY命令执行漏洞

下一篇:GE Proficy CIMPLICITY目录遍历漏洞

返回列表

北京力控华康科技有限公司版权所有 Copyright ©2009-2013 京ICP备11026151号 京公网安备11010802010312号Powered by HuaHao