漏洞 ID: TALOS-2023-1773 CVE 编号: CVE-2023-34994 漏洞类型: Improper resource allocation vulnerability 受影响版本: Open Automation Software OAS Platform v18.00.0072 CVSS v3.1 评分: 3.1 (CVSS:3.1/AV:N/AC: H/PR:L/UI:N/S:U/C:N/I:N/A:L) CWE: CWE-770 (Allocation of Resources Without Limits or Throttling) 关键点: 漏洞描述: 在 Open Automation Software OAS Platform 的 OAS Engine configuration management 功能中存在一个资源分配不当的漏洞。通过精心构造的一系列网络请求,攻击者可创建任意目录。 受影响产品: Open Automation Software OAS Platform v18.00.0072 漏洞利用: 攻击者通过一系列特定网络请求触发漏洞,创建任意目录。 缓解措施: 限制对 OAS Engine 配置服务器的访问,仅限授权主机,并限制读写权限,仅允许对安全位置的文件访问。 厂商响应: 固定版本 v19 可在 https://openautomationsoftware.com/downloads/releases/ 下载。 时间线: - 2023-06-22: 厂商披露 - 2023-09-02: 厂商发布补丁 - 2023-09-05: 公开发布 该信息由 Cisco Talos 成员发现,详细内容参阅文档。