关键信息 漏洞描述 漏洞编号: VDE-2024-041 发布日期: 2024年9月10日 10:00 (CEST) 更新日期: 2024年9月10日 09:56 (CEST) 供应商: Endress+Hauser AG 受影响产品: - Echo Curve Viewer - FieldCare SFE500 Package USB - FieldCare SFE500 Package Web-Package - Field Xpert SMT50 - Field Xpert SMT70 - Field Xpert SMT77 - Field Xpert SMT79 漏洞细节 CVE编号: CVE-2024-6596 严重性: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H) 弱点: 不恰当的控制代码生成(代码注入)(CWE-94) 描述: 未经授权的远程攻击者可以运行包含在曲线文件中的恶意C#代码,并在用户上下文中执行命令。 影响 曲线文件未被Echo Curve Viewer验证,因此包含的C#代码在未进一步验证的情况下执行。 可能的攻击载体: 被操纵的.cs文件,其中包含恶意C#代码,可能被包含在曲线文件中。 解决方案 对于独立的Echo Curve Viewer安装,下载并安装Echo Curve Viewer版本>= 6.00.00。 对于捆绑安装的FieldCare SFE500,下载并安装FieldCare SFE500 Package版本>= 1.40.1。 对于Field Xpert设备,更新将在启动时自动安装。这需要工作互联网连接和(在某些情况下)有效的维护期以及与E+H Netilion Cloud的连接。请参阅Field Xpert文档以了解更新机制的详细信息。 报告 由CERT@VDE与Endress+Hauser协调。 漏洞由Endress+Hauser的Julian Renz报告。