关键信息摘要 漏洞概述 顾问ID: SSA-570294 描述: SICAM Q100 设备存在多个漏洞,可能导致攻击者接管已登录用户的会话或注入自定义代码。 发布日期: 2022-11-08 最后更新: 2024-01-09 当前版本: V1.1 CVSS v3.1 基础评分: 9.9 受影响产品和解决方案 规避和缓解措施 限制对端口443/tcp的访问仅限于受信任的IP地址。 漏洞分类 CVE-2022-43398: 会话Cookie不续订和用户定义的会话Cookie接受。CVSS v3.1基础分数: 7.5。CWE: CWE-384 (会话固定) CVE-2022-43439: 语言参数验证不当。CVSS v3.1基础分数: 9.9。CWE: CWE-20 (输入验证不当) CVE-2022-43545: 不当验证RecordType参数。CVSS v3.1基础分数: 9.9。CWE: CWE-20 (输入验证不当) CVE-2022-43546: 不当验证EndTime参数。CVSS v3.1基础分数: 9.9。CWE: CWE-20 (输入验证不当) 致谢 Michael Messner(Siemens Energy)报告了漏洞。