Phoenix Contact Automation Worx多个漏洞安全通告

发布时间 2019-06-26

漏洞编号和级别


CVE编号:CVE-2019-12869,危险级别:低危,CVSS分值厂商自评:3.3,官方未评定
CVE编号:CVE-2019-12870,危险级别:高危,CVSS分值厂商自评:7.8,官方未评定

CVE编号:CVE-2019-12871,危险级别:高危,CVSS分值厂商自评:7.8,官方未评定


影响版本


受影响的版本


适用于Phoenix Contact Automation Worx Software Suite中的PC Worx 1.86及之前版本、PC Worx Express 1.86及之前版本和Config+ 1.86及之前版本。


漏洞概述


Phoenix Contact Automation Worx Software Suite是德国菲尼克斯电气(Phoenix Contact)企业的一套自动化WorxApp套件。PC Worx是其中的一套控制器编程App。Config+是其中的一套用于配置和诊断INTERBUS系统的App。


Phoenix Contact Automation Worx中存在多个漏洞,具体如下:


CVE-2019-12869:


该漏洞源于网络系统或产品在内存上实行操作时,未正确验证数据边界,导致向关联的其他内存位置上实行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。


CVE-2019-12870:


该漏洞源于在访问指针之前缺少适当的指针初始化。攻击者可以利用此漏洞在当前进程的上下文中实行代码

CVE-2019-12871:


该漏洞源于在对对象实行操作之前缺乏验证对象是否存在。攻击者可以利用此漏洞在当前进程的上下文中实行代码。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.phoenixcontact.com/


参考链接


https://www.zerodayinitiative.com/advisories/ZDI-19-579/
https://www.zerodayinitiative.com/advisories/ZDI-19-575/
https://www.zerodayinitiative.com/advisories/ZDI-19-576/