关键信息 1. 漏洞概述 CVSS v3 - 基本分数:7.8 - 严重程度:中等 厂商:Delta Electronics 设备:TPEditor 漏洞类型: - Out-of-bounds Read (CVE-2020-16219) - Stack-based Buffer Overflow (CVE-2020-16221) - Heap-based Buffer Overflow (CVE-2020-16223) - Write-what-where Condition (CVE-2020-16225) - Improper Input Validation (CVE-2020-16227) 2. 风险评估 成功利用这些漏洞可能允许攻击者读取/修改信息、执行任意代码、崩溃应用 3. 技术细节 影响产品:TPEditor版本1.97及以前 4. 漏洞概述 Out-of-bounds Read CWE-125 - 使用特殊生成的项目文件进行攻击 Stack-based Buffer Overflow CWE-121 - 使用特殊生成的项目文件进行攻击 Heap-based Buffer Overflow CWE-122 - 使用特殊生成的项目文件进行攻击 Write-what-where Condition CWE-123 - 使用特殊生成的项目文件进行攻击 Improper Input Validation CWE-20 - 处理用户未验证的数据进行攻击 5. 建议措施 使用最新版本的TPEditor (Version 1.97版本) 最大限度减少控制系统的网络暴露 隔离控制系统的网络 如果需要远程访问,请使用安全方法(如VPN)并在需要时更新 6. 研究团队 Kdot、Kimiya of 9SG Security Team、Justin Taft和Chris Anastasio与Trend Micro的Zero Day Initiative合作报告了这些漏洞给CISA