关键漏洞信息 漏洞ID VDE-2024-061 发布日期 2025-06-30 12:00 (CEST) 最后更新 2025-06-27 09:51 (CEST) 厂商 ifm electronic GmbH 受影响产品及版本 Smart PLC AC4xxS Firmware: V4.04 < V4.3.17 Smart PLC AC4xxS Firmware: V6.1.8 漏洞概述 在PLC ifm AC4xxS中存在一个漏洞,攻击者可以通过精心设计的HTML请求触发安全状态,导致可用性损失。 CVE ID CVE-2024-8419 最后更新时间 2025年6月27日,上午9:50 严重性 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 弱点 缺少对关键功能的身份验证 (306) 漏洞详情 端点托管了一个脚本,由于缺少身份验证,允许未经授权的远程攻击者通过网络将系统置于故障安全状态。 影响 未经授权的攻击者可以利用此漏洞向PLC发出恶意命令,可能中断或损坏生产线。 解决方案和缓解措施 使用自动化组件时,确保没有未经授权的访问发生。采取措施确保组件没有直接访问互联网资源,并且不能从不安全的网络访问。使用可用的安全措施,如身份验证和授权组。 固件V6.1.8的PLC HTTP接口可以被禁用。 报告者 CERT@VDE与ifm electronic GmbH协调 由乌克兰国立技术大学“伊戈尔·西科尔斯基基辅理工学院”的Dmytro Kryhin报告