关键漏洞信息 概览 独立研究员 Maxim Rupp 发现了 Tollgrade Communications, Inc. 的 SmartGrid LightHouse Sensor Management System (SMS) 软件中的漏洞。 受影响版本: - 版本 4.1.0 Build 16 - 旧于版本 5.1 的所有版本 影响: - 跨站脚本 (XSS) - 信息泄露 - 跨站请求伪造 (CSRF) - 不安全的凭据 利用方式: - 这些漏洞可以被远程利用。 漏洞描述 1. 跨站请求伪造 (CSRF): - 描述: 影响的版本缺少 CSRF 保护,允许恶意方在用户不知情的情况下执行命令。 - CVE 编码: CVE-2016-0863 2. 信息泄露: - 描述: 未授权用户可以访问敏感文件和报告及用户名。 - CVE 编码: CVE-2016-0864 3. 不安全的凭据: - 描述: 受限权限的认证用户可以更改其他用户的密码,从而解锁其账户。 - CVE 编码: CVE-2016-0865 4. 跨站脚本 (XSS): - 描述: 该软件允许动态 URL 受控,使恶意方能够操控手工服务器,重定向到恶意位置并可能进行其他攻击。 - CVE 编码: CVE-2016-0866 漏洞细节 可利用性: 这些漏洞可以被远程利用。 已知漏洞利用: 没有已知专门针对这些漏洞的公开漏洞利用。 难度: 针对这些漏洞制作有效的漏洞利用程序有一定难度。 缓解措施 更新软件: Tollgrade Communications, Inc. 已发布更新软件,解决这些漏洞。 推荐: - 最小化所有控制系统设备和系统的网络暴露,防止它们直接从互联网访问。 - 将控制系统网络和远程设备置于防火墙之后,并与业务网络隔离。 - 如需远程访问,使用安全方法,如虚拟私有网络 (VPNs)。 联系 联系 Tollgrade Communications, Inc. 获取支持。 Toll 免费电话:1 800-777-5405 电话:1 724-720-1480 更新软件可从 http://customersupport.tollgrade.com 获取。