據外媒報導,施耐德電氣於上週向其客戶通報說已修復U.motion Builder最新版本中的 16 個漏洞,其中包括那些被評為嚴重和高危的漏洞,例如可能導致資訊洩露的路徑遍歷或者其他一些錯誤,以及透過 SQL 注入造成的遠端程式碼執行缺陷。
U.motion 是全球各地商業設施、關鍵製造和能源部門使用的建築自動化解決方案。而 U.motion Builder 則是一個允許使用者為其 U.motion 裝置建立專案的工具。
據悉,U.motion Builder 大多數安全漏洞已被歸類為中等嚴重性,但也有一些安全漏洞基於 CVSS 評分來看非常嚴重。
最嚴重漏洞(CVE-2017-7494)的
CVSS 評分達到了 10,根據介紹,該漏洞允許遠端執行程式碼,對 Samba 軟體套件造成了一定影響。另外,由於與 WannaCry
攻擊類似,它被業內一些成員稱為“ SambaCry
”。目前該漏洞被發現影響了幾家主要供應商的裝置,其中包括思科、Netgear、QNAP、Synology、Veritas、Sophos 和 F5
Networks。
U.motion Builder 中另一個嚴重漏洞的標識為 CVE-2018-7777,該漏洞允許經過身份驗證的攻擊者透過向目標伺服器傳送特製請求來遠端執行任意程式碼。
除此之外,一個 SQL 注入缺陷 CVE-2018-7765 也被列為高度嚴重。
這些問題影響到 U.motion Builder 1.3.4 之前的版本。目前施耐德除了提供補丁之外,還分享了一些緩解潛在攻擊的建議。
來源:hackernews