首页 > 安全钻研 > 安全传递 > 安全公告

ControlByWeb工业形象站节造器缝隙安全公告

颁布功夫 2019-01-21

缝隙编号和级别

CVE编号：CVE-2018-18881，危险级别：高危，CVSS分值：厂商自评：7.6，官方未评定

CVE编号：CVE-2018-18882，危险级别：高危，CVSS分值：厂商自评：7.6，官方未评定

影响版本

ControlByWeb ControlByWeb X-320M 1.05版本及以前版本。

缝隙概述

Xytronix Research&Design ControlByWeb X-320M是美国Xytronix Research&Design公司的一款支持网络的形象站节造器。该产品能够将气象数据颁布到专门的形象服务，若是超过指定的参数，它能够发送电子邮件和短信通知，并且能够远程激活公司造作的其他产品的继电器。

ControlByWeb的以太网I / O产品配有内置Web服务器，可通过Web浏览器进行接见。其产品能够轻松集成到工业自动化和SCADA系统中，或者能够作为独立设备使用。

CVE-2018-18881

Xytronix Research&Design ControlByWeb X-320M在实现中存在身份验证安全缝隙。攻击者可利用该缝隙造成回绝服务。

该设备的Web-Enabled Instrumentation-Grade Data Acquisition�？槭艿交鼐瘢�DoS）缝隙的影响，该缝隙可被利用来粉碎设备上通过特定网络设置进行的所有通讯。具体来说，攻击者能够将setup.html页面中的“IP过滤器领域1”选项从255.255.255.255设置为0.0.0.0，这会导致持续的DoS前提阻止接见设备除非执行复原出厂设置。

CVE-2018-18882

Xytronix Research&Design ControlByWeb X-320M中存在跨站剧本缝隙，该缝隙源于法式没有正确地验证输入。远程攻击者可利用该缝隙执行代码。

它会影响统一HTML页面上的“站点描述”输入字段。攻击者可能会将恶意剧本注入此字段，并在合法用户接见设备的状态页时执行。

建复建议：

ControlByWeb颁布了1.06版正本建补缝隙：https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip。

参考链接：

https://ics-cert.us-cert.gov/advisories/ICSA-19-017-03

https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip

https://www.securityweek.com/serious-flaws-found-controlbyweb-industrial-weather-station

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研