首页 > 清静研究 > 清静转达 > 清静通告

Phoenix工业交流机误差清静通告

宣布时间 2019-02-19

误差编号和级别

CVE编号：CVE-2018-13990，，，，，，危险级别：高危，，，，，， CVSS分值：厂商自评：8.6，，，，，，官方未评定

CVE编号：CVE-2018-13991，，，，，，危险级别：中危，，，，，， CVSS分值：厂商自评：5.3，，，，，，官方未评定

CVE编号：CVE-2018-13992，，，，，，危险级别：高危，，，，，， CVSS分值：厂商自评：8.2，，，，，，官方未评定

CVE编号：CVE-2018-13993，，，，，，危险级别：高危，，，，，， CVSS分值：厂商自评：8.8，，，，，，官方未评定

CVE编号：CVE-2018-13994，，，，，，危险级别：高危，，，，，， CVSS分值：厂商自评：7.5，，，，，，官方未评定

影响规模

受影响版本：

PHOENIX CONTACT FL SWITCH 4xxx

PHOENIX CONTACT FL SWITCH 48xx

PHOENIX CONTACT FL SWITCH 3xxx

误差概述

Phoenix Contact FL SWITCH是德国菲尼克斯电气（Phoenix Contact）集团的一款工业级以太网交流机。。。。。。。

Phoenix Contact FL SWITCH 3xxx、4xxx和48xx系列工业控制交流机被披露多个CVE清静误差。。。。。。。乐成使用这些误差可能导致工业控制系统(ICS)滋扰，，，，，，甚至完全中止。。。。。。。Contact FL 系列在石油、能源设施和海事系统中应用普遍，，，，，，这种系统中控制器一旦故障会引发大贫困。。。。。。。误差概述如下：

CVE-2018-13990

该误差源于程序没有登录超时功效。。。。。。。攻击者可通过实验暴力破解攻击使用该误差获取用户名和密码，，，，，，进而获取会见权限。。。。。。。

CVE-2018-13991

该误差源于程序没有清静存储敏感信息。。。。。。。攻击者可使用该误差获取交流机的默认私钥。。。。。。。

CVE-2018-13992

该误差源于Web UI (HTTP)的默认设置，，，，，，程序会未加密传输用户凭证。。。。。。。攻击者可使用该误差获取敏感信息。。。。。。。

CVE-2018-13993

该误差为跨站请求伪造误差。。。。。。。远程攻击者可使用该误差造成Web浏览器转达非预期的下令。。。。。。。

CVE-2018-13994

攻击者可通过举行大宗的Web UI毗连，，，，，，使用该误差造成拒绝效劳。。。。。。。

修复建议

现在官方已经宣布新版本1.35修复了这些误差，，，，，，请到厂商的主页下载：https://www.phoenixcontact.com。。。。。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-19-024-02

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究