关键漏洞信息 1. 执行摘要 CVSS v3: 8.6 关注点: 低攻击复杂度 供应商: Rockwell Automation 设备: ISaGRAF Workbench 漏洞: 反序列化不受信任的数据、路径遍历 2. 风险评估 成功利用这些漏洞可能导致目录遍历、权限提升和任意代码执行。 3. 技术细节 3.1 受影响产品 ISaGRAF Workbench 版本 6.0 至 6.6.9 3.2 漏洞概述 3.2.1 路径遍历(CWE-22) 漏洞 ID: CVE-2022-2463 CVSS v3 基础分数: 6.1 描述: 通过精心设计的恶意文件使攻击者在打开软件时获得 ISaGRAF Workbench 软件的权限。 3.2.2 路径遍历(CWE-22) 漏洞 ID: CVE-2022-2464 CVSS v3 基础分数: 7.7 描述: 通过恶意文件使攻击者遍历文件系统,并创建具有 ISaGRAF Workbench 软件相同权限的文件。 3.2.3 反序列化不受信任的数据(CWE-502) 漏洞 ID: CVE-2022-2465 CVSS v3 基础分数: 8.6 描述: ISaGRAF Workbench 不限制可反序列化的对象,使攻击者通过恶意序列化对象导致远程代码执行。 3.3 背景 关键基础设施部门: 关键制造业 部署国家/地区: 全球 公司总部位置: 美国 4. 缓解措施 更新到版本 6.6.10 或更高版本。 以用户身份而不是管理员身份运行 ISaGRAF Workbench。 不要打开不受信任的 .7z 交换文件。 使用 Microsoft AppLocker 或类似的允许列表应用程序。 遵循最小权限原则。 实施其他防御措施以最小化漏洞被利用的风险。