关键信息 发布日期: 2023年9月7日 告警代码: ICSA-23-250-03 CVSS v3 评分: 10.0 危险性: 可远程利用/低攻击复杂度 厂商: Socomec 设备: MOD3GP-SY-120K 漏洞: - 跨站脚本 (XSS) - 跨站请求伪造 (CSRF) - 无访问控制机制中存储敏感数据 - 依赖未经验证和完整性检查的Cookies - 代码注入 - 明文存储密码 风险评估: 成功利用这些漏洞的攻击者可以执行恶意JavaScript代码、获取敏感信息或窃取会话Cookie。 技术详细信息 受到影响的产品: MODULYS GP (MOD3GP-SY-120K) 漏洞概述: - 不正确的输入中和 ('跨站脚本') - 跨站请求伪造 (CSRF) - 无访问控制机制中的敏感数据存储 - 依赖未经验证和完整性检查的Cookies - 代码生成控制不当 ('代码注入') - 密码明文存储 背景 关键基础设施部门: 多个部门 部署的国家/地区: 全球 公司总部所在地: 法国 研究者 Aaron Flecha Menendez 报告了这些漏洞给CISA。 减缓措施 使用MODULYS GP2代替MODULYS GP - 建议使用更安全的方法如虚拟私有网络(VPNs),并建议更新到最新可用版本。 减少所有控制系统设备和系统的网络暴露。 在防火墙后定位控制系统网络和远程设备并将其与业务网络隔离。 更新历史 2023年9月7日:初始发布 关于厂商 SOCMEC