一���、漏洞概述
Delta Electronics DIAEnergie是中国台湾台达电子��(Delta Electronics)公司推出的的一款推出的一款工业能源管理系统。旨在为企业给予全面����、智能的能源监控与管理解决方案。DIAEnergie系统能够实时监测和分析工厂或企业的电能消耗情况���,并顺利获得集成的数据采集���、处理和报告功能来帮助企业实现节能目标。
DIAEnergie 1.10.00.005之前的版本的存在SQL注入��、XSS(跨站点脚本)����、路径遍历����、授权不当等漏洞。该漏洞源于该应用程序在将用户顺利获得参数给予的值用作SQL查询的一部分之前未正确验证该值。远程未认证攻击者可利用该漏洞注入任意代码和修改数据库欸容并执行系统命令。
以下是漏洞详情����:
二��、受影响的产品
以下Delta Electronics工业能源管理系统 DIAEnergie 版本受到影响���: v1.10.00.005 之前的 DIAEnergie 版本
三���、严重等级
银河国际(中国)超弦实验室评级为����:高危
四���、处置方法
1��、Delta 建议用户更新至 DIAEnergie v1.10.00.005。
2��、加强访问控制����,使用银河国际(中国)工业防火墙��、工业网闸等产品进行隔离保护。
3��、使用银河国际(中国)工业卫士阻止不受信任的网络和主机访问并实行白名单防护。
4����、使用神探及时发现未知威胁。
五��、参考链接
http://www.cisa.gov/news-events/ics-advisories/icsa-24-074-12
银河国际(中国)超弦实验室将持续跟踪安全情报变化���,及时发布相关信息����,若有需要��,请联系400-6060-270
-END-
