漏洞关键信息 执行摘要 CVSS v4: 8.4 攻击复杂度: 低 厂商: Fuji Electric 设备: Monitouch V-SFT-6 漏洞: 堆基缓冲区溢出, 栈基缓冲区溢出 风险评估 成功利用这些漏洞可能导致访问的设备崩溃;缓冲区溢出条件可能允许远程代码执行。 技术细节 受影响的产品: Fuji Electric Monitouch V-SFT-6版本6.2.7.0 漏洞概述: - 堆基缓冲区溢出 CVE-122: - 恶意制作的项目文件可能会导致堆基缓冲区溢出,允许攻击者执行任意代码。 - CVE-2025-54496: - CVSS v3.1得分: 7.8 - CVSS向量字符串: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) - CVSS v4得分: 8.4 - CVSS向量字符串: (CVSS:4.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) - 栈基缓冲区溢出 CVE-121: - 处理特别制作的项目文件时,可能允许攻击者执行任意代码。 - CVE-2025-54526: - CVSS v3.1得分: 7.8 - CVSS向量字符串: (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) - CVSS v4得分: 8.4 - CVSS向量字符串: (CVSS:4.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) 背景 关键基础设施领域: 关键制造 部署国家/地区: 全球 公司总部所在地: 日本 研究人员 Rocco Calvi与TecSecurity合作,通过趋势微零日计划向CISA报告了这些漏洞。 缓解措施 Fuji Electric已在十月发布中解决了这些漏洞(V-SFT V6.2.8.0)。他们建议用户更新到V6.2.9.0或更高版本。 CISA建议用户采取以下措施防止社会工程攻击: 不要点击未知来源邮件中的链接或打开附件 参考“识别和避免邮件诈骗”获取更多关于避免邮箱诈骗的信息 参考“避免社会工程和钓鱼攻击”获取更多关于社会工程攻击的信息