首页 > 清静研究 > 清静转达 > 清静通告

ControlByWeb工业气象站控制器误差清静通告

宣布时间 2019-01-21

误差编号和级别

CVE编号：CVE-2018-18881，危险级别：高危，CVSS分值：厂商自评：7.6，官方未评定

CVE编号：CVE-2018-18882，危险级别：高危，CVSS分值：厂商自评：7.6，官方未评定

影响版本

ControlByWeb ControlByWeb X-320M 1.05版本及以前版本。

误差概述

Xytronix Research&Design ControlByWeb X-320M是美国Xytronix Research&Design公司的一款支持网络的气象站控制器。该产品可以将天气数据宣布到专门的气象服务，若是凌驾指定的参数，它可以发送电子邮件和短信通知，并且可以远程激活公司制造的其他产品的继电器。

ControlByWeb的以太网I / O产品配有内置Web服务器，可通过Web浏览器举行会见。其产品可以轻松集成到工业自动化和SCADA系统中，或者可以作为自力装备使用。

CVE-2018-18881

Xytronix Research&Design ControlByWeb X-320M在实现中保存身份验证清静误差。攻击者可使用该误差造成拒绝服务。

该装备的Web-Enabled Instrumentation-Grade Data Acquisition�？槭艿骄芫瘢�DoS）误差的影响，该误差可被使用来破损装备上通过特定网络设置举行的所有通讯。详细来说，攻击者可以将setup.html页面中的“IP过滤器规模1”选项从255.255.255.255设置为0.0.0.0，这会导致一连的DoS条件阻止会见装备除非执行恢复出厂设置。

CVE-2018-18882

Xytronix Research&Design ControlByWeb X-320M中保存跨站剧本误差，该误差源于程序没有准确地验证输入。远程攻击者可使用该误差执行代码。

它会影响统一HTML页面上的“站点形貌”输入字段。攻击者可能会将恶意剧本注入此字段，并在正当用户会见装备的状态页时执行。

修复建议：

ControlByWeb宣布了1.06版原来修补误差：https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip。

参考链接：

https://ics-cert.us-cert.gov/advisories/ICSA-19-017-03

https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip

https://www.securityweek.com/serious-flaws-found-controlbyweb-industrial-weather-station

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究