漏洞关键信息 漏洞编号 VDE-2024-064 发布日期 2024-10-31 12:00 (CET) 最后更新日期 2024-10-31 08:31 (CET) 供应商 Beckhoff Automation GmbH & Co. KG 影响的产品 TwinCAT Package Manager - 受影响版本:< 1.0.603.0 漏洞描述 贝克霍夫的TwinCAT 3.1 Build 4026软件是模块化的,并根据用户需求安装了不同的包。这些包使用命令行工具tcpkg或相应的图形用户界面TwinCAT Package Manager进行选择和安装。两者使用相同的配置,指定从何处加载包。这些位置称为feed,具有预配置的默认设置,并可以由管理员用户自定义,例如添加另一个本地镜像的包服务器。当在PC上使用TwinCAT Package Manager时,具有管理员访问权限的用户可以设置一个特殊构造的URL,导致TwinCAT Package Manager执行任意操作系统命令。 CVE编号 CVE-2024-8934 严重性 6.5 (CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H) 弱点 未正确中和用于操作系统命令的特殊元素(OS命令注入) 影响 具有管理员访问权限的本地用户可以输入特殊构造的值设置TwinCAT Package Manager的用户界面(UI),导致任意操作系统命令执行。 解决方案 缓解措施 - 行政用户应始终彻底检查他们输入的值。 补救措施 - 请更新受影响产品的最新版本。 报告者 CERT@VDE协调与贝克霍夫 - 贝克霍夫自动化有限公司感谢ELEX FEIGONG RESEARCH INSTITUTE的Elex CyberSecurity, Inc.的报告。