发布时间:2021-08-11 19:24:30,来源:北京奇虎科技有限公司
近日,mySCADA发布安全公告,修复了mySCADA myPRO存在的身份验证绕过、任意文件上传、路径遍历和信息泄露漏洞,相关漏洞CVE编号:CVE-2021-33013、CVE-2021-33009、CVE-2021-33005、CVE-2021-27505。目前厂商已修复漏洞,建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
mySCADA myPRO是一个应用软件,myPRO是专业的HMI/SCADA系统,主要用于工业过程的可视化和控制。
1. 身份验证绕过漏洞(CVE-2021-33013)
该漏洞源于产品未限制对敏感系统信息的读取访问权限。未经身份验证的攻击者可利用该漏洞获取敏感信息。
2. 任意文件上传漏洞(CVE-2021-33009)
该漏洞允许未经身份验证的远程攻击者上传任意文件到文件系统。
3. 路径遍历漏洞(CVE-2021-33005)
该漏洞源于受影响的产品未能正确地过滤资源或文件路径中的特殊元素。未经身份验证的攻击者可利用该漏洞上传任意文件到任意目录。
4. 信息泄露漏洞(CVE-2021-27505)
该漏洞源于产品未限制对敏感目录列表信息的读取访问权限。攻击者可利用该漏洞获取敏感信息。
mySCADA myPRO < 8.20.0
建议受影响的客户及时升级更新至mySCADA myPRO 8.20.0或更高版本版本。
https://www.myscada.org/downloads/other/Version_8.20.0.pdf
https://www.myscada.org/version-8-20-0-released-security-update/
https://us-cert.cisa.gov/ics/advisories/icsa-21-217-03