Schneider Electric U.Motion Builder track_import_export.php object_id未经验证命令注入漏洞


基本信息

时间: 2019-05-15

风险等级: 高

CNVD: CNVD-2019-14275

原地址: https://www.cnvd.org.cn/flaw/show/CNVD-2019-14275


描述
U.motionBuilder是法国施耐德电气(SchneiderElectric)公司的一款生成器产品。SchneiderElectricU.MotionBuildertrack_import_export.phpobject_id存在安全漏洞。该漏洞是由于应用程序未能正确地验证和过滤此参数,攻击者可利用漏洞插入任意命令。
产品
SchneiderElectricU.motionBuilder<=1.3.4
解决方案
该产品在通知供应商有关此问题不久已退役,因此不会发布任何修复程序:https://www.schneider-electric.com/ww/en/
CVE
CVE-2018-7841
来源
https://seclists.org/fulldisclosure/2019/May/26