CNNVD-ID编号 | CNNVD-201301-366 |
CVE编号 | CVE-2013-0663 |
发布时间 | 2013-01-18 |
更新时间 | 2013-04-07 |
漏洞类型 | 跨站请求伪造 |
漏洞来源 | N/A |
危险等级 | 中危 |
威胁类型 | 远程 |
厂 商 | schneider-electric |
施耐德电气为100多个国家的能源及基础设施、工业、数据中心及网络、楼宇和住宅市场提供整体解决方案。其中多个产品使用的SESU工具用于更新windows PC系统上的软件。客户PC上的Schneider Electric软件使用SESU服务作为Schneider Electric中心更新服务器的通信机制,可用于定期接收软件更新。
Schneider Electric Quantum 140NOE77111,140NOE77101,和140NWM10000;M340 BMXNOC0401,BMXNOE0100x,和BMXNOE011xx;以及Premium TSXETY4103,TSXETY5103和TSXWMY100 PLC模块中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞将发送执行命令(例如发送修改HTTP凭证命令)的任意用户的身份验证信息劫持。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.schneider-electric.com/download/ww/en/details/35081317-Vulnerability-Disclosure-for-Quantum-Premium-and-M340/
名称: http://ics-cert.us-cert.gov/pdf/ICSA-13-077-01A.pdf
来源: www.schneider-electric.com
来源: www.schneider-electric.com