B&R Industrial Automation SiteManager/GateManager 多漏洞公告 (CVE-2020-11641至11646)

关键信息总结 1. 漏洞概述 CVSS v3 评分: 7.7 风险级别: 可远程利用，低技能级别 厂商: B&R Industrial Automation GmbH 受影响设备: SiteManager 和 GateManager 漏洞类型: - Path Traversal - Uncontrolled Resource Consumption - Information Exposure - Improper Authentication - Information Disclosure 2. 风险评估 成功利用这些漏洞可能导致任意信息泄露、操作、以及拒绝服务条件。 3. 技术细节 3.1 受影响产品 SiteManager 所有版本低于 v9.2.620236042 GateManager 4260 和 9250 所有版本低于 v9.0.20262 GateManager 8250 所有版本低于 v9.2.620236042 3.2 漏洞概述 CVE-2020-11641: 路径遍历 (CVSS v3 评分: 7.7) CVE-2020-11642: 未控制的资源消耗 (CVSS v3 评分: 7.7) CVE-2020-11643: 信息泄露 (CVSS v3 评分: 6.5) CVE-2020-11644: 认证不当 (CVSS v3 评分: 6.5) CVE-2020-11645: 未控制的资源消耗 (CVSS v3 评分: 6.5) CVE-2020-11646: 信息泄露 (CVSS v3 评分: 4.3) 4. 缓解措施 已修复版本: - SiteManager v9.2.620236042 - GateManager 4260 和 9250 v9.0.20262 - GateManager 8250 v9.2.620236042 用户应采取防御措施: - 最小化所有控制系统设备/系统的网络暴露 - 将控制系统网络和远程设备置于防火墙后，与业务网络隔离 - 当需要远程访问时，使用安全方法（如VPN） 组织应在部署防御措施之前进行适当的影响分析和风险评估

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

B&R Industrial Automation SiteManager/GateManager 多漏洞公告 (CVE-2020-11641至11646)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！