聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
摘要
日本电子巨头欧姆龙最近修复了 CX-Programmer 软件中的多个高危漏洞,它们可用于执行远程代码。
日本JPCERT/CC 本月初发布安全公告指出,该产品受5个释放后使用和界外漏洞,它们的CVSS评分均为 7.8。
CX-Programmer是欧姆龙 CX-One 自动化软件套件的组成部分,旨在编程和调试欧姆龙的可编程逻辑控制器 (PLCs)。美国网络安全和基础设施安全局 (CISA) 指出,该产品用于全球各地,包括一些关键制造行业。
这些CX-Programmer 漏洞影响版本 9.76 及更早版本。这些缺陷是由安全研究员 Michael Heinzl 发现的,并通过JPCERT/CC在2021年5月和6月告知欧姆龙公司。
研究人员指出,这些漏洞是由缺少数据验证造成的,如遭成功利用可导致信息泄露或任意代码执行后果。然而,利用这些漏洞要求用户交互,如诱骗目标用户打开特殊构造的CXP文件。Heinzl 已为每个漏洞发布公告。这些漏洞均已收到CVE编号。
JPCERT/CC 指出,这些漏洞已在CX-Programmer 9.77 中修复,已在2022年1月发布。JPCERT/CC 指出,CX-One 套件是自动更新特征,多数用户无需采取任何措施应用这些补丁。然而,建议用户确保自动更新运行正常并在发生问题时及时联系厂商。
CISA 尚未发布相关漏洞安全公告,但CISA确实一般会通知位于美国的组织机构关于欧姆龙产品中的安全漏洞情况。
Heinzl 此前曾发现富士电机公司 Tellus 工厂监控和运营产品、Delta 电子公司 DIAEnergie 工业能源管理系统和捷克共和国工业自动化公司 mySCADA 的myPRO HMI/SCADA 产品中的多个漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
施耐德电气的 Modicon PLC 中被曝严重漏洞,已有缓解措施
原文链接
https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
