信息安全研究

咨询热线:400-650-1353
关注公司微信账号

首页 > 信息安全研究 > 工程信息安全漏洞发布

工程信息安全漏洞发布

Schneider Electric多个产品跨站请求伪造漏洞

CNVD-ID

CNVD-2013-21855

发布时间

2013-04-10

危害级别

(AV:N/AC:M/Au:S/C:C/I:C/A:C)

影响产品

Schneider Electric Quantum 140NOE77111
Schneider Electric Quantum 140NOE77101
Schneider Electric Quantum 140NWM10000
Schneider Electric M340 BMXNOC0401
Schneider Electric M340 BMXNOE0100x
Schneider Electric M340 BMXNOE011xx
Schneider Electric Premium TSXETY4103
Schneider Electric Premium TSXETY5103
Schneider Electric Premium TSXWMY100

BUGTRAQ ID

57435

CVE ID

CVE-2013-0663

漏洞描述

施耐德电气为100多个国家的能源及基础设施、工业、数据中心及网络、楼宇和住宅市场提供整体解决方案。其中多个产品使用的SESU工具用于更新windows PC系统上的软件。
Schneider Electric Quantum 140NOE77111
140NOE77101140NWM10000; M340 BMXNOC0401 BMXNOE0100xBMXNOE011xx; Premium TSXETY4103 TSXETY5103TSXWMY100 PLC模块存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。如修改HTTP验证凭据。

参考链接

http://ics-cert.us-cert.gov/pdf/ICSA-13-077-01A.pdf
http://www.schneider-electric.com/download/ww/en/file/36555639-SEVD-2013-023-01.pdf/?fileName=SEVD-2013-023-01.pdf&reference=SEVD-2013-023-01&docType=Technical-paper

漏洞解决方案

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.schneider-electric.com/download/ww/en/details/35081317-Vulnerability-Disclosure-for-Quantum-Premium-and-M340/

漏洞发现者

Arthur Gervais

厂商补丁

Schneider Electric多个产品跨站请求伪造漏洞的补丁

上一篇:Schneider Electric多个产品Modbus系列驱动程序缓冲区溢出漏洞

下一篇:Schneider Electric多个产品不正确验证漏洞

返回列表

北京力控华康科技有限公司版权所有 Copyright ©2009-2013 京ICP备11026151号 京公网安备11010802010312号Powered by HuaHao