跳至主內容

Schneider Electric 產品多個漏洞

最後更新 2011年11月30日 10:18 發佈日期: 2011年11月30日 2619 觀看次數

風險: 高度風險

類型: 伺服器 - 其他伺服器

類型: 其他伺服器

在不同的 Schneider Electric 產品發現多個漏洞,惡意的人可利用漏洞進行跨網站指令碼攻擊、洩露敏感資料及控制使用者系統。

  1. 由於 TeeChart ActiveX 控制項產生兩個錯誤,攻擊者可利用漏洞引致緩衝區滿溢。成功利用漏洞可執行任意程式碼。
  2. 由於系統把某些未經正確過濾的資料傳回給使用者,攻擊者可透過受影響網站,利用此漏洞在使用者瀏覽器會話內執行任意的 HTML 及指令碼。
  3. 由於系統把某些未經核實的輸入資料,於用作讀取檔案前已傳送至入門網站,攻擊者可透過目錄穿越攻擊引致任意檔案內容洩露。

影響

  • 跨網站指令碼
  • 遠端執行程式碼
  • 資料洩露

受影響之系統或技術

  • CitectHistorian 4.x
  • CitectSCADA Reports 4.x
  • Vijeo Historian 4.x

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結