### 关键漏洞信息 #### 1. 漏洞概述 - **CVE编号**: CVE-2023-2923 - **严重性**: 高危(可导致远程攻击复杂度低) - **厂商**: Kaleris - **受影响设备**: Navis N4 - **漏洞类型**: - CWE-502: 反序列化不可信数据 - CWE-319: 明文传输敏感信息 #### 2. 影响的产品 - Navis N4终端操作系统及其相关组件,包括: - Navis N4版本低于8.0 #### 3. 漏洞详情 - **反序列化不可信数据 (CWE-502)**: - 攻击者可通过特制请求利用此漏洞执行任意代码。 - CVSS v3.1评分:9.8(严重) - **明文传输敏感信息 (CWE-319)**: - 敏感信息在未加密的网络通信中传输,可能导致信息泄露。 - CVSS v3.1评分:6.5(中等) #### 4. 背景信息 - **关键基础设施领域**: 交通运输系统 - **部署国家**: 全球 - **公司总部位置**: 美国 #### 5. 缓解措施 - 升级至以下版本以修复漏洞: - Navis N4 Version 11.0.0+ - Navis N4 Version 12.0.0+ - Navis N4 Version 13.0.0+ - Navis N4 Version 14.0.0+ - Navis N4 Version 15.0.0+ - Navis N4 Version 16.0.0+ - Navis N4 Version 17.0.0+ - Navis N4 Version 18.0.0+ - 如果无法立即升级,建议采取临时缓解措施,如限制网络访问和使用加密通信。 #### 6. 更新历史 - 2023年6月28日:初始发布