发布日期：2020-03-20
更新日期：2020-03-25

受影响系统：

Schneider Electric Interactive Graphical Scada System <= 14

描述：

---

CVE(CAN) ID: CVE-2020-7478

Schneider Electric IGSS是一套用于监控和控制工业过程的交互式图形SCADA系统。

使用IGSSupdate服务的Schneider Electric IGSS 14及之前版本，在实现中存在路径遍历漏洞。该漏洞源于未正确地限制受限制目录的路径名。未经身份验证的攻击者可利用该漏洞读取设备上的任意文件。

<*来源：Trend Micro’s Zero Day Initiative (ZDI)
  
  链接：https://www.us-cert.gov/ics/advisories/icsa-20-084-02
*>

建议：

---

厂商补丁：

Schneider Electric
------------------
Schneider Electric已经提供了IGSS14 14.0.0.20009版本修复了这些漏洞，建议用户更新到最新版本：
http://igss.schneider-electric.com/igss/igssupdates/v140/IGSSUPDATE.zip

也可通过下列临时措施降低风险：
*无需使用此服务安装更新，禁用IGSS Update服务。
*基础设施断网，对可疑人员及资源禁止Windows登录及网络访问。
更多信息，请参考https://www.se.com/ww/en/download/document/SEVD-2020-070-01/

浏览次数：1335
严重程度：0（网友投票）