Schneider Electric Products 跨站请求伪造漏洞

CNNVD-ID编号 CNNVD-201301-366
CVE编号 CVE-2013-0663
发布时间 2013-01-18
更新时间 2013-04-07
漏洞类型 跨站请求伪造
漏洞来源 N/A
危险等级 中危
威胁类型 远程
厂 商 schneider-electric

漏洞介绍

施耐德电气为100多个国家的能源及基础设施、工业、数据中心及网络、楼宇和住宅市场提供整体解决方案。其中多个产品使用的SESU工具用于更新windows PC系统上的软件。客户PC上的Schneider Electric软件使用SESU服务作为Schneider Electric中心更新服务器的通信机制,可用于定期接收软件更新。

Schneider Electric Quantum 140NOE77111,140NOE77101,和140NWM10000;M340 BMXNOC0401,BMXNOE0100x,和BMXNOE011xx;以及Premium TSXETY4103,TSXETY5103和TSXWMY100 PLC模块中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞将发送执行命令(例如发送修改HTTP凭证命令)的任意用户的身份验证信息劫持。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源