聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

德国工业解决方案提供商 Phoenix Contact 上周通知客户称，公司多款产品中被曝10个漏洞。

Phoenix Contact 公司和德国 CERT@VDE 发布安全公告表示，这些漏洞是由多名研究员和公司报告的。该公司通过固件更新解决了其中很多缺陷，不过在某些情况下仅提供了阻止攻击的建议。

Phoenix Contact 公司的 TC 路由器、FL MGUARD 调制解调器、ILC 2050 BI 构建控制器和 PLCNext 产品受两个漏洞影响：一个是高危的安全绕过漏洞，一个是中危的拒绝服务漏洞。

SMARTRTU AXC 远程终端和自动化系统、CHARX 控制模块化交流充电控制器、EEM-SB37x 电表和 PLCNext 产品受高危漏洞影响，可被用于在设备上安装恶意固件。

该公司披露称 FL SWITCH SMCS 系列交换机受三个漏洞影响，可被用于发动DoS 和 XSS 攻击。XSS 漏洞可用于将恶意代码插入设备的 web 管理接口中。FL COMSERVER UNI 产品用于将序列接口集成到现有的以太网中，受一个高危 DoS 漏洞影响。

另外一份安全公告中说明的是 AXL F BK 和 IL BK总线耦合器中的一个漏洞。该缺陷和 FTP 访问权限中存在一个硬编码密码有关，可导致攻击者读取“设备抓取的监控信息”。

Phoenix Contact 公司的 ILC 1x1 工业控制器受高危 DoS 漏洞影响，该漏洞可通过特殊构造的 IP 数据包触发。

Phoenix Contact 公司在安全公告中指出，“Phoenix Contact Classic Line 工业控制器的开发和设计是为了用于闭源工业网络中。通信协议和设备访问权限并不具备认证措施。远程攻击者可利用这些特殊构造的 IP 数据包在 PLC 的网络通信模块上引起拒绝服务。”

上周发布的最后一份安全公告说明了 Automation Worx 软件套装中的一个远程代码执行漏洞。该漏洞被评为高危漏洞，但利用要求访问并操纵配置文件，并在受害者系统上进行解析。

推荐阅读

原文链接

https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~