Siemens SPPA-T3000 Application Server不当身份验证漏洞(CNVD-2019-45416)


基本信息

时间: 2019-12-16

风险等级: 高

CNVD: CNVD-2019-45416

原地址: https://www.cnvd.org.cn/flaw/show/CNVD-2019-45416


描述
SPPA-T3000是一种分布式控制系统,主要应用于火力发电厂和大型可再生能源发电厂。ApplicationServer是其中的应用服务器,提供主要的系统服务,包括访问控制、向瘦客户端分发数据和存档。SiemensSPPA-T3000ApplicationServer存在安全漏洞。该漏洞源于ApplicationServer的AdminService无需认证即可使用。攻击者可通过AdminService接口公开的方法利用该漏洞接收其他用户的密码哈希并更改用户密码。
产品
SiemensSPPA-T3000ApplicationServer
解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:https://cert-portal.siemens.com/productcert/pdf/ssa-451445.pdf
CVE
CVE-2019-18284
补丁
Siemens SPPA-T3000 Application Server不当身份验证漏洞(CNVD-2019-45416)的补丁
来源
https://cert-portal.siemens.com/productcert/pdf/ssa-451445.pdf