关键漏洞信息 1. 漏洞概述 CVE编号: CVE-2015-7937 影响产品: Advantech iView 发布日期: July 28, 2015 风险评估: 高危 2. 技术细节 受影响的产品: - Advantech iView 6.0.0.0 漏洞概述: - CWE-79: 跨站脚本(XSS) - 攻击者可以通过在Web页面生成过程中对输入进行不适当的中和,注入恶意脚本。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N) - CWE-79: 另一个跨站脚本(XSS)实例 - 攻击者可以通过在Web页面生成过程中对输入进行不适当的中和,注入恶意脚本。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N) - CWE-89: SQL注入 - 攻击者可以通过在SQL命令中使用特殊元素进行不适当的中和,执行任意SQL命令。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) - CWE-22: 路径遍历 - 攻击者可以通过限制目录中的路径模式进行不适当的限制,访问受限的文件或目录。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N) - CWE-89: 另一个SQL注入实例 - 攻击者可以通过在SQL命令中使用特殊元素进行不适当的中和,执行任意SQL命令。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) - CWE-88: 命令注入 - 攻击者可以通过在命令参数中使用特殊元素进行不适当的中和,执行任意命令。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) - CWE-88: 另一个命令注入实例 - 攻击者可以通过在命令参数中使用特殊元素进行不适当的中和,执行任意命令。 - 示例URL: - 影响版本: v6.0.0.0 - CVSS评分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) 3. 缓解措施 更新到最新版本 使用安全的编码实践 部署Web应用防火墙 定期进行安全审计和测试