关键漏洞信息 1. 漏洞概述 CVSS v3: 7.5 注意: 可远程利用/低技能级别 供应商: GE Digital 设备: APM Classic 漏洞: - 授权绕过用户控制密钥 (CWE-639) - 使用没有盐的一次性哈希 (CWE-759) 2. 风险评估 成功利用这些漏洞可以访问敏感信息。 3. 技术细节 3.1 受影响的产品 APM Classic, 版本4.4及之前 3.2 漏洞概述 3.2.1 授权绕过用户控制密钥 (CWE-639) 描述: 不安全的直接对象引用 (IDOR) 漏洞允许用户数据以JavaScript对象格式下载,允许攻击者在没有适当权限的情况下下载敏感数据。 CVE编号: CVE-2020-16240 CVSS v3 基本评分: 7.5 CVSS 向量字符串: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 3.2.2 使用没有盐的一次性哈希 (CWE-759) 描述: 使用不带盐的一次性哈希计算密码,使得可以解密密码。与IDOR漏洞一起,使得经过验证的用户可以检索用户数据和实际密码。 CVE编号: CVE-2020-16244 CVSS v3 基本评分: 7.2 CVSS 向量字符串: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 3.3 背景 关键基础设施部门: 化工、能源、废水系统等 部署国家/地区: 全球 公司总部: 美国 3.4 报告人 Guido Marilli of Accenture Security 报告了这些漏洞。 4. 缓解措施 升级: GE推荐用户升级到GE Digital APM Classic 4.5或更高版本。 建议: 采取防御措施以最小化漏洞被利用的风险: - 限制网络暴露 - 使用安全的远程访问方法,如VPN 参考: CISA推荐控制系统的安全最佳实践和策略。