Schneider Electric InduSoft密码存储漏洞

CVE编号

CVE-2015-1009

利用情况

暂无

补丁情况

N/A

披露时间

2015-08-01
漏洞描述
InduSoft Web Studio是用于开发人机界面、监督控制和数据采集的SCADA系统和嵌入式仪表解决方案。

Schneider Electric InduSoft Web Studio before 7.1.3.5 Patch 5及Wonderware InTouch Machine Edition through 7.1 SP3 Patch 4在配置文件中以纯文本形式存储项目窗口的密码,这可使本地用户通过读取该文件,获取敏感信息。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://ics-cert.us-cert.gov/redirect?url=http%3A%2F%2Fwww.indusoft.com%2Fdev%2FINDUSOFT%2FRelease%2FIWS71.3.5%2FIWS71.3.5.zip
参考链接
http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2015-100-01
https://gcsresource.invensys.com/support/docs/_securitybulletins/Security_bul...
https://ics-cert.us-cert.gov/advisories/ICSA-15-211-01
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 indusoft web_studio * Up to
(including)
7.1.3.5
运行在以下环境
应用 wonderware intouch * Up to
(including)
7.1
CVSS3评分
1.7
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
  • 保密性
    部分地
  • 完整性
AV:L/AC:L/Au:S/C:P/I:N/A:N
CWE-ID 漏洞类型
CWE-200 信息暴露
阿里云安全产品覆盖情况