发布时间:2021-06-07 16:07:24,来源:中国信息通信研究院
一、基本情况
近日,研华(Advantech)公司发布安全公告,修复了Advantech iView产品存在的身份验证和SQL注入漏洞,相关CVE编号:CVE-2021-32930、CVE-2021-32932。攻击者可利用漏洞执行任意代码。由于漏洞攻击复杂度低,漏洞危害大。建议受影响用户及时将iView升级至5.7.03.6182版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
Advantech iView是中国台湾研华(Advantech)公司的一款适用于工业无线网通B+B SmartWorx系列产品的管理软件。
1. Advantech iView身份验证漏洞
该漏洞由于程序缺少身份验证,受影响产品的配置受到攻击,这可能会使攻击者利用该漏洞更改配置并执行任意代码。
2. Advantech iView SQL注入漏洞
该漏洞由于受影响的产品容易受到SQL注入攻击,这可能会攻击者利用该漏洞获取敏感信息。
三、 影响范围
Advantech iView < v5.7.03.6182
四、 安全建议
目前官方已修复该漏洞,建议受影响用户尽快升级版本。
https://www.advantech.tw/support/details/firmware?id=1-HIPU-183
五、 参考链接
https://us-cert.cisa.gov/ics/advisories/icsa-21-154-01