关键信息总结 1. 漏洞概要 CVSS v3评分: 10.0 注意: 远程可利用/低攻击复杂性 厂商: Sewio 设备: RTLS Studio 漏洞类型: - 硬编码密码使用 - OS命令注入 - 超出边界写入 - 跨站请求伪造 - 输入验证不当 - 跨站脚本 2. 风险评估 成功利用这些漏洞可能会导致攻击者获得服务器的未授权访问、篡改信息、创建拒绝服务条件、获取提升权限以及执行任意代码。 3. 技术细节 3.1 受影响的产品 版本: RTLS Studio 2.0.0 至 2.6.2 3.2 漏洞概述 硬编码密码使用 (CVE-2022-45444): CVSS v3评分 10.0 OS命令注入 (CVE-2022-47911): CVSS v3评分 9.1 超出边界写入 (CVE-2022-41989): CVSS v3评分 9.0 跨站请求伪造 (CSR) (CVE-2022-45127 和 CVE-2022-47395): CVSS v3评分 8.1 输入验证不当 (CVE-2022-47917): CVSS v3评分 6.8 跨站脚本 (CVE-2022-46733): CVSS v3评分 6.3 4. 减灾措施 更新至最新版本: 3.0.0 或更高版本(某些漏洞需要登录才能使用) 网络最小暴露: 隔离控制系统和远程设备 修复特定漏洞CVE-2022-45444: 手动更改数据库密码 5. 其他信息 发现者: Andrea Palanca of Nozomi Networks 影响的领域: 多个 部署区域: 全球 厂商总部位置: 捷克共和国