Trihedral VTScada 8.x < 11.2.02 中存在多个漏洞
critical Nessus 插件 ID 103533
语言:
简介
SCADA 应用受到多个漏洞的影响。描述
根据它的自我报告版本,远程主机上运行的 Trihedral VTScada 的版本高于 8 但低于 11.2.02。因此,该应用程序受到多个漏洞的影响:- 由于未能正确验证用户提供的文件名,导致无线应用协议请求的处理中存在身份验证问题。未经身份验证的远程攻击者可利用此漏洞,在运行该服务的用户的环境中泄露任意文件的内容。(CVE-2016-4510)
- 由于未能遍历用户提供的路径,导致无线应用协议请求的处理中存在越界读取。未经身份验证的远程攻击者可利用此漏洞,在运行该服务的用户的环境中执行代码。(CVE-2016-4523)
- 由于未能正确限制从中检索图像的路径,导致无线应用协议请求的处理中存在路径遍历信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞,在运行该服务的用户的环境中泄露任意文件的内容。(CVE-2016-4532)
解决方案
升级到 Trihedral VTScada 11.2.02 或更高版本。另见
插件详情
严重性: Critical
ID: 103533
文件名: scada_trihedral_vtscada_11_2_02.nbin
版本: 1.53
类型: remote
系列: SCADA
发布时间: 2017/9/28
最近更新时间: 2024/3/19
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2016-4532
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 8.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:trihedral:vtscada
必需的 KB 项: trihedral/vtscada/version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2016/6/7
漏洞发布日期: 2016/6/7
CISA 已知可遭利用的漏洞到期日期: 2022/5/6
参考资料信息
CVE: CVE-2016-4510, CVE-2016-4523, CVE-2016-4532
BID: 91077
ICSA: 16-159-01
ZDI: ZDI-16-403, ZDI-16-404, ZDI-16-405