关键信息 漏洞描述 漏洞编号: VDE-2024-048 发布日期: 2024-08-27 10:00 (CEST) 更新日期: 2024-08-27 08:58 (CEST) 供应商: Beckhoff Automation GmbH & Co. KG 受影响产品: - 产品: Package IPC-Diagnostics-www - 受影响版本: < 2.1.1.0 - 产品: TwinCAT/BSD - 受影响版本: < 14.1.2.0_153968 漏洞细节 描述: 默认情况下,TwinCAT/BSD 基于产品的设备特定的基于 Web 的管理 (WBM) 接口 (Beckhoff Device Manager UI) 已启用,可以远程或本地访问。当本地访问时,用户可以通过输入特殊构造的输入来绕过输入验证,然后允许具有管理员权限的本地命令执行。 CVE ID: CVE-2024-41174 严重性: 7.3 (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) 弱点: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79) 影响 描述: 低权限本地攻击者可以通过输入特殊构造的输入来绕过输入验证,然后允许具有管理员权限的本地命令执行。 解决方案 缓解措施: 避免存在具有登录权限的用户账户,除了管理员访问。默认情况下,TwinCAT/BSD 已预配置具有较低权限的用户账户,但它们都没有密码,导致它们被拒绝登录访问。避免在目标上运行未经充分审计的第三方应用程序,无论用户正在运行什么。 补救措施: 请更新受影响产品的最新版本。一般来说,Beckhoff 建议更新整个 TwinCAT/BSD 操作系统到最新版本,而不是单独的包。有关更新现有 TwinCAT/BSD 安装的信息,请参阅此处。您还可以通过命令行确定操作系统的版本。这也可以通过 Beckhoff Device Manager UI 查看。请注意,当从 TwinCAT/BSD 主要版本 12 更新时,需要连续两次升级。 报告者 CERT@VDE: 协调与 Beckhoff Andrea Palanca: 报告于 Nozomi Networks