关键信息 漏洞详情 - CVSS v3.8.4 - 威胁级别: 可远程利用/低技术难度利用 - 厂商: Opto 22 - 受影响设备: PAC Control Basic 和 PAC Control Professional - 漏洞类型: 基于堆栈的缓冲区溢出 风险评估 - 成功利用该漏洞可能会导致正在访问的设备崩溃,并且缓冲区溢出条件可能允许远程代码执行。 技术细节 - 受影响产品 - PAC Control Basic 版本 R10.0a 及更早版本 - PAC Control Professional 版本 R10.0a 及更早版本 - 漏洞概述 - CWE: CWE-121 基于堆栈的缓冲区溢出 - CVE: CVE-2018-14807 已被分配给此漏洞。其 CVSS v3 基本评分为 8.4,CVSS 向量字符串为 - 背景 - 关键基础设施部门: 多个 - 部署区域: 全球 - 公司总部位置: 美国 - 研究员 - Robert Hawes 向 NCCIC 报告了此漏洞 缓解措施 - Opto 22 建议用户升级到最新版本 - NCCIC 建议用户采取防御措施以最小化此漏洞被利用的风险: - 最小化所有控制系统设备和/或系统的网络暴露,确保它们不能从互联网访问 - 将控制系统网络和远程设备置于防火墙之后,并与企业网络隔离 - 如果需要远程访问,使用安全方法,如虚拟专用网络(VPN),并认识到 VPN 可能存在漏洞,应更新到可用的最新版本。此外,VPN 的安全性仅与连接设备的安全性相同 - NCCIC 提醒组织在部署防御措施之前进行适当的冲击分析和风险评估 厂商 - Opto 22