关键漏洞信息 漏洞概述 - CVSS v3 评分: 6.7 - 厂商: Exacq Technologies, Inc., a subsidiary of Johnson Controls - 设备: exacqVision Server - 漏洞: Unquoted Search Path or Element 风险评估 - 成功利用此漏洞允许未授权用户提升权限。 技术细节 - 受影响的产品: exacqVision Server 版本 9.6 和 9.8 - 漏洞概览: 某些服务存在未引号的服务路径,authenticated 用户可以在系统根路径插入代码,在应用启动时执行。 背景 - 关键基础设施领域: 关键制造 - 部署地区: 全球 - 公司总部: 爱尔兰 研究人员 - Gjoko Kristic of Zero Science Lab 向 Johnson Controls 报告了此漏洞。 缓解措施 - 升级到最新版本 19.03 - 访问 Johnson Controls 产品安全网站 获取 ICS 安全通知和产品安全指导。 - 避免点击未知链接或打开邮件中的附件。 - 参考 识别和避免邮件骗局 避免被社交工程攻击。 - 其他措施和报告可以通过 ICS 网页 和相关链接获取。 供应商 - Johnson Controls 关键漏洞编号 - CVE-2019-7590 分类编号 - CWE-428