关键漏洞信息 漏洞标识 - ZDI编号: ZDI-21-858 - ZDI CAN编号: ZDI-CAN-13414 CVE ID - CVE-2021-34321 CVSS评分 - 3.3, AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 受影响厂商及产品 - 厂商: Siemens - 产品: JT2Go 漏洞详情 - 该漏洞允许远程攻击者在受影响的Siemens JT2Go安装上泄露敏感信息。若要利用此漏洞,需要用户交互,即目标必须访问恶意页面或打开恶意文件。 - 问题存在于解析J2K文件的过程中,由于缺乏对用户提供的数据的有效验证,导致在读取分配缓冲区末尾之外的内容时出现问题。攻击者可以利用这一点,结合其他漏洞来执行任意代码。 额外详情 - https://us-cert.cisa.gov/ics/advisories/icsa-21-194-15 - https://cert-portal.siemens.com/productcert/pdf/ssa-483182.pdf 披露时间线 - 2021-03-16 - 向厂商报告漏洞 - 2021-07-19 - 协调发布的建议 发现者 - Mat Powell of Trend Micro Zero Day Initiative