发布日期：2020-03-10
更新日期：2020-03-11

受影响系统：

Siemens SiNVR 3 Central Control Server (CCS)
Siemens SiNVR 3 Video Server

描述：

---

CVE(CAN) ID: CVE-2019-19292

SiNVR 3是一个视频管理平台。

SiNVR 3默认情况下在基于XML的通讯协议中存在SQL注入漏洞，远程攻击者可利用此漏洞读取或者修改数据库，执行管理员数据库操作或者系统命令。

<*来源：Siemens
  *>

建议：

---

厂商补丁：

Siemens
-------
目前厂商建议用户应用下列临时措施降低风险：

* 在SiNVR Video及CCS服务器上应用ACL/防火墙配置，确保仅合法SiNVR系统可以访问配置的video/CCS服务器端口。
* 加强所有SiNVR系统以防止未授权访问。
* 在网络上应用加密及身份验证。
* 禁用CCS上的web接口。
* 启用CCS web接口的TLS。
* 禁用CCS的FTP服务。
* 禁用视频服务器的两个FTP服务。

详情请参考：https://www.siemens.com/industrialsecurity

浏览次数：1272
严重程度：0（网友投票）