一、漏洞概述
Delta Electronics DIAEnergie是中国台湾台达电子(Delta Electronics)公司推出的的一款推出的一款工业能源管理系统。
DIAEnergie 1.9.01.002及更早版本中的存在SQL注入、XSS(跨站点脚本)漏洞。该漏洞源于该应用程序在将用户通过参数提供的值用作SQL查询的一部分之前未正确验证该值。远程未认证攻击者可利用该漏洞注入任意代码和修改数据库欸容并执行系统命令。
以下是漏洞详情:
二、受影响的产品
Delta Electronics 称,工业能源管理系统 DIAEnergie 的以下版本受到影响:
l v1.9.01.002 之前的 DIAEnergie 版本
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、请受影响的用户及时关注厂商官网发布的版本升级、补丁修复信息。
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护。
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护。
4、使用神探及时发现未知威胁。
五、参考链接
https://www.cisa.gov/uscert/ics/advisories/icsa-22-298-06
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270