多款Rockwell Automation产品输入验证错误漏洞


基本信息

时间: 2019-05-15

风险等级: 中

CNVD: CNVD-2019-14396

原地址: https://www.cnvd.org.cn/flaw/show/CNVD-2019-14396


描述
RockwellAutomationMicroLogix1400ControllersSeriesA等都是美国罗克韦尔(RockwellAutomation)公司的一款可编程逻辑控制器。多款RockwellAutomation产品中存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者利用漏洞可以通过构建精心设计的URI并诱使用户关注它,当受害者跟踪链接时,他们可能会被重定向到攻击者控制的站点有助于网络钓鱼攻击。
产品
RockwellAutomationMicroLogix1100Controllers14.00RockwellAutomationCompactLogix5370L330.014RockwellAutomationCompactLogix5370L230.014RockwellAutomationCompactLogix5370L130.014RockwellAutomationMicroLogix1400ControllersSeriesB15.002RockwellAutomationMicroLogix1400ControllersSeriesA
解决方案
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.rockwellautomation.com/
CVE
CVE-2019-10955
补丁
多款Rockwell Automation产品输入验证错误漏洞的补丁
来源
https://ics-cert.us-cert.gov/advisories/ICSA-19-113-01