关键信息 漏洞概述 漏洞类型: SQL注入漏洞 影响产品: CSWorks Software Framework 发现者: Researcher John Leitch, working with HP's Zero Day Initiative (ZDI) 修复状态: CSWorks 已发布更新版本修复此漏洞 影响的产品 受影响版本: CSWorks Version 2.5.2030.0 及更早版本 影响 成功利用此漏洞可能导致使用 CSWorks 软件的应用程序易受 SQL 注入攻击。 具体影响取决于应用程序的开发和实现。 漏洞详情 CVE编号: CVE-2014-2931 CVSS评分: 7.2 可远程利用: 是 已知利用工具: 无特定针对此漏洞的公开利用工具 难度: 低技能水平的攻击者即可利用 缓解措施 更新版本: CSWorks Version 2.5.2033.0 下载链接: http://www.controlsystemworks.com/DownloadDescription.aspx 安全公告: http://www.controlsystemworks.com/blogengine/post/2014/05/08/Important-CSWorks-security-release-2520330 建议 最小化网络暴露,确保控制系统的设备不直接连接互联网。 将控制系统的网络和远程设备置于防火墙之后,并与业务网络隔离。 使用安全的方法进行远程访问,如虚拟专用网络(VPN)。 更新到最新版本以修复漏洞。