首页 > 清静研究 > 清静转达 > 清静通告

ControlByWeb工业气象站控制器误差清静通告

宣布时间 2019-01-21

误差编号和级别

CVE编号：CVE-2018-18881，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评：7.6，，，，，，，官方未评定

CVE编号：CVE-2018-18882，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评：7.6，，，，，，，官方未评定

影响版本

ControlByWeb ControlByWeb X-320M 1.05版本及以前版本。。。。。。

误差概述

Xytronix Research&Design ControlByWeb X-320M是美国Xytronix Research&Design公司的一款支持网络的气象站控制器。。。。。。该产品可以将天气数据宣布到专门的气象效劳，，，，，，，若是凌驾指定的参数，，，，，，，它可以发送电子邮件和短信通知，，，，，，，并且可以远程激活公司制造的其他产品的继电器。。。。。。

ControlByWeb的以太网I / O产品配有内置Web效劳器，，，，，，，可通过Web浏览器举行会见。。。。。。其产品可以轻松集成到工业自动化和SCADA系统中，，，，，，，或者可以作为自力装备使用。。。。。。

CVE-2018-18881

Xytronix Research&Design ControlByWeb X-320M在实现中保存身份验证清静误差。。。。。。攻击者可使用该误差造成拒绝效劳。。。。。。

该装备的Web-Enabled Instrumentation-Grade Data Acquisition模浚浚�？？槭艿骄芫Ю停�DoS）误差的影响，，，，，，，该误差可被使用来破损装备上通过特定网络设置举行的所有通讯。。。。。。详细来说，，，，，，，攻击者可以将setup.html页面中的“IP过滤器规模1”选项从255.255.255.255设置为0.0.0.0，，，，，，，这会导致一连的DoS条件阻止会见装备除非执行恢复出厂设置。。。。。。

CVE-2018-18882

Xytronix Research&Design ControlByWeb X-320M中保存跨站剧本误差，，，，，，，该误差源于程序没有准确地验证输入。。。。。。远程攻击者可使用该误差执行代码。。。。。。

它会影响统一HTML页面上的“站点形貌”输入字段。。。。。。攻击者可能会将恶意剧本注入此字段，，，，，，，并在正当用户会见装备的状态页时执行。。。。。。

修复建议：

ControlByWeb宣布了1.06版原来修补误差：https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip。。。。。。

参考链接：

https://ics-cert.us-cert.gov/advisories/ICSA-19-017-03

https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip

https://www.securityweek.com/serious-flaws-found-controlbyweb-industrial-weather-station

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究