信息安全研究

咨询热线:400-650-1353
关注公司微信账号

首页 > 信息安全研究 > 工程信息安全漏洞发布

工程信息安全漏洞发布

Siemens SIMATIC WinCC TIA Portal存在多个漏洞

CNVD-ID

CNVD-2013-21180

发布时间

2013-03-26

危害级别

(AV:L/AC:L/Au:N/C:P/I:P/A:P)

影响产品

Siemens SIMATIC WinCC TIA Portal 11.x

BUGTRAQ ID

58567

CVE ID

CVE-2011-4515

漏洞描述

Siemens SIMATIC WinCC TIA Portal涵盖整个 HMI 领域的工程组态工具,从精简系列面板到 SCADA 系统一应俱全。
Siemens SIMATIC WinCC TIA Portal
内存在多个漏洞,可被恶意用户利用泄露敏感信息、绕过安全限制、插入和执行脚本、造成拒绝服务等。
1
、在处理HTTP请求时存在错误,可被利用造成HMI Web 服务器崩溃。
2
HMI Web应用内的某些输入没有被正确过滤,可被利用插入任意HTML和脚本代码,或者插入任意HTTP报文头。
3
、某些URL没有被正确过滤即用于访问某些文件,可被利用泄露面板服务器端Web应用文件的源代码。
要成功利用这些漏洞需要开启Web服务器。

参考链接

http://ics-cert.us-cert.gov/pdf/ICSA-13-079-03.pdf

漏洞解决方案

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.siemens.com/corporate-technology/pool/

漏洞发现者

Gleb Gritsai

厂商补丁

Siemens SIMATIC WinCC TIA Portal存在多个漏洞的补丁

验证信息

(暂无验证信息)

漏洞附件

(无附件)

上一篇:Siemens WinCC CCEServer缓冲区溢出漏洞

下一篇:Siemens SIMATIC WinCC和PCS 7存在信息泄露、目录穿越、缓冲区溢出等多个漏洞

返回列表

北京力控华康科技有限公司版权所有 Copyright ©2009-2013 京ICP备11026151号 京公网安备11010802010312号Powered by HuaHao