关键漏洞信息 1. 执行摘要 CVSS v3: 9.9 注意: 可远程利用/低技能水平即可利用 供应商: Sensormatic Electronics, LLC, Johnson Controls 的子公司 设备: Software House C-CURE 9000 和 American Dynamics victor 视频管理系统 漏洞: 明文存储敏感信息 2. 风险评估 成功利用此漏洞可能使攻击者访问应用程序中使用的凭据。 3. 技术细节 3.1 影响的产品 Software House C-CURE 9000: 版本 2.70 American Dynamics victor 视频管理系统: 版本 5.2 3.2 漏洞概述 明文存储敏感信息 CWE-312: 在安装或升级 C-CURE 9000 v2.70 和 victor 视频管理系统 v5.2 时,执行安装或升级的用户的凭据被保存在文件中。安装日志文件在安装后仍存在。此漏洞已分配 CVE-2020-9045,CVSS v3 基本分数为 9.9。 3.3 背景 关键基础设施部门: 商业设施、关键制造业、金融服务、政府设施、医疗保健和公共卫生、运输系统 部署国家/地区: 全球 公司总部位置: 爱尔兰 4. 缓解措施 对于 Software House C-CURE 9000: 用户应升级到版本 2.80 或更高版本。 对于 American Dynamics victor 视频管理系统: 用户应升级到版本 5.3。 删除 c:\programdata\tyco\installertemp 中的日志文件并更改 windows 帐户的密码。 有关更详细的缓解说明,请参阅 Johnson Controls 产品安全咨询 JCI-PSA-2020-4 v1。 CISA 建议用户采取防御措施以最大限度地降低此漏洞被利用的风险。 供应商 Johnson Controls