以下是网页截图中获取到的关键漏洞信息,用简洁的Markdown格式展示: --- 漏洞摘要 日期: January 13th, 2022 标题: Fatek Automation WinProladder PDW File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability ID: ZDI-22-028 ZDI-CAN-14517 --- 漏洞信息 CVE ID: CVE-2021-43554 CVSS 评分: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响的厂商: Fatek Automation 受影响的产品: WinProladder --- 漏洞详情 描述: 此漏洞允许远程攻击者在受影响的Fatek Automation WinProladder 安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 原因: 问题出在PDW文件的解析中,由于缺少对用户提供的数据的验证,可能会在分配数据结构之前写入,攻击者可以利用此漏洞在当前进程的上下文中执行代码。 --- 其他详细信息 Fatek Automation 发布了修复此漏洞的更新,更多信息可查阅: - https://www.cisa.gov/uscert/ics/advisories/icsa-21-320-01 --- 披露时间表 2021-07-30 向厂商报告漏洞 2022-01-13 公布公告进行协调公开发布 报告者: xina1i