EZAutomation多个缓冲区错误漏洞安全通告

发布时间 2019-09-06

漏洞编号和级别


CVE编号:CVE-2019-13522,危险级别:高危,CVSS分值:7.8

CVE编号:CVE-2019-13518,危险级别:高危,CVSS分值:7.8


影响版本


受影响的版本


CVE-2019-13522

EZ PLC Editor Versions 1.8.41 and prior


CVE-2019-13518

EZ Touch Editor Versions 2.1.0 and prior


漏洞概述


EZAutomation是AVG旗下的一个系列。AVG是一家做工业触摸屏和可编程控制器的美国电气企业。EZAutomation系列下有PLC产品,触摸屏,编码器,跑马灯,操作界面各种高性价产品。近日EZAutomation发布两个缓冲区错误漏洞如下:


CVE-2019-13522

EZAutomation EZ PLC Editor是美国EZAutomation企业的一套PLC(可编程逻辑控制器)编程App。EZAutomation EZ PLC Editor 1.8.41及之前版本中存在缓冲区错误漏洞。攻击者可借助特制的项目文件利用该漏洞损坏内存并以该应用程序权限实行代码。


CVE-2019-13518

EZAutomation EZ Touch Editor是美国EZAutomation企业的一套HMI(人机界面)编程App。EZAutomation EZ Touch Editor 2.1.0及之前版本中存在缓冲区错误漏洞。攻击者可借助特制的项目文件利用该漏洞以该应用程序的权限实行代码。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,下载链接:https://www.ezautomation.net/access.php。


参考链接


https://www.us-cert.gov/ics/advisories/icsa-19-246-01

https://www.us-cert.gov/ics/advisories/icsa-19-246-02