一、漏洞概述
Advantech iView 是中国台湾研华(Advantech)公司的一个基于简单网络协议(SNMP)来对 B + B SmartWorx 设备进行管理的软件
研华 iView在5.7.04.6469版本中存在SQL注入漏洞,该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
以下是漏洞详情:
二、受影响的产品
以下版本的研华 iView 管理软件受到影响:
研华 iView:5.7.04.6469 及更早的版本
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、 研华建议将固件更新至版本 5.7.04.6583以解决这些漏洞
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护
4、使用六方云神探及时发现未知威胁
五、参考链接
https://www.cisa.gov/uscert/ics/advisories/icsa-22-342-01
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
