关键信息 漏洞描述 漏洞编号: SSA-430425 受影响产品: SINEC Security Monitor before V4.9.0 受影响版本: 所有版本 < V4.9.0 漏洞类型: 多个漏洞 CVSS v3.1 Base Score: 9.9 CVSS v4.0 Base Score: 9.4 漏洞影响 漏洞描述: 多个漏洞,包括但不限于: - CVE-2024-47553: 不正确验证用户输入到 命令,允许具有低权限的远程攻击者执行任意代码。 - CVE-2024-47562: 不正确处理用户输入到 命令中的特殊元素,允许具有低权限的本地攻击者执行特权命令。 - CVE-2024-47563: 不正确验证文件路径,允许未经授权的远程攻击者在写入目录中创建文件。 - CVE-2024-47565: 不正确验证用户输入是否符合允许的值列表,允许具有低权限的远程攻击者破坏受影响应用的配置。 解决方案 建议: 更新到 V4.9.0 或更高版本。 链接: 更新到 V4.9.0 或更高版本 其他信息 发布日期: 2024-10-08 更新日期: 2024-10-08 当前版本: V1.0 受影响产品和版本: 所有版本 < V4.9.0 受影响组件: 所有 CVEs 工作原理和缓解措施: 请参阅受影响产品和解决方案部分。 通用安全建议: 配置环境以符合工业安全指南,并遵循产品手册中的建议。 产品描述: SINEC Security Monitor 是一个用于监控和管理工业网络安全的软件。 漏洞描述: 详细描述了每个漏洞的性质和影响。 附加信息: 提供了联系 Siemens ProductCERT 的方式。 历史数据: 更新日期为 V1.0 (2024-10-08)。 使用条款: Siemens Security Advisories 受其使用条款的约束。