Siemens Spectrum Power跨站脚本漏洞


基本信息

时间: 2019-07-12

风险等级: 中

CNVD: CNVD-2019-22236

原地址: https://www.cnvd.org.cn/flaw/show/CNVD-2019-22236


描述
SiemensSpectrumPower是一款为控制和监视系统的SCADA,通信和数据建模提供基本组件的系统。SiemensSpectrumPower存在跨站脚本漏洞。远程攻击者可利用此漏洞在受影响站点的上下文中的未怀疑用户的浏览器中执行任意脚本代码。允许攻击者窃取基于cookie的身份验证凭证并发起其他攻击。
产品
SiemensSpectrumPower3(CorporateUserInterface)<=v3.11SiemensSpectrumPower4(CorporateUserInterface)v4.75SiemensSpectrumPower5(CorporateUserInterface)<=v5.50SiemensSpectrumPower7(CorporateUserInterface)<=v2.20
解决方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://cert-portal.siemens.com/productcert/pdf/ssa-747162.pdf
CVE
CVE-2019-10933
补丁
Siemens Spectrum Power跨站脚本漏洞的补丁
来源
https://cert-portal.siemens.com/productcert/pdf/ssa-747162.pdf