关键信息 漏洞详情 日期: 2020年8月27日 名称: Advantech iView NetworkServlet backupDatabase Directory Traversal Information Disclosure Vulnerability ID: - ZDI-20-1088 - ZDI-CAN-10991 CVE信息 CVE-ID: CVE-2020-16245 CVSS分数: 9.4 - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H 受影响的供应商及产品 供应商: Advantech 产品: iView 漏洞描述 详情: 这个漏洞允许远程攻击者在受影响的Advantech iView安装上泄露敏感信息。无需身份验证即可利用此漏洞。 具体漏洞存在于NetworkServlet类的backupDatabase方法处理调用时,由于对用户提供的路径缺乏适当的验证,便直接用于文件操作。攻击者可以利用此漏洞覆盖任意文件,并泄露存储的凭据,从而进一步妥协。 额外信息 详情: Advantech已经发布更新以修复此漏洞。更多信息可以在此处找到: - https://us-cert.cisa.gov/ics/advisories/icsa-20-238-01 披露时间线 2020-07-07: 漏洞报告给供应商 2020-08-27: 协调公开发布咨询 发现者 KPC