OPW Fuel Management Systems SiteSentinel Integra和SiteSentinel iSite权限提升漏洞

CVE编号

CVE-2017-12733

利用情况

暂无

补丁情况

N/A

披露时间

2017-09-09

漏洞描述

SiteSentinel Integra 100、SiteSentinel Integra 500和SiteSentinel iSite ATG都是为OPW燃料管理系统提供油罐监控功能的产品。 OPW Fuel Management Systems SiteSentinel Integra和SiteSentinel iSite存在权限提升漏洞，攻击者可通过创建一个应用程序的用户帐户利用漏洞获取管理权限。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：http://www.opwglobal.com/docs/libraries/manuals/electronic-systems/opw-fms-manuals/m00-20-4438-integra-software-upgrade.pdf?sfvrsn=14

参考链接
http://www.securityfocus.com/bid/100563
https://ics-cert.us-cert.gov/advisories/ICSA-17-243-04

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_100_firmware	*		Up to (including) 175
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_100_firmware	16q3.1	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_100_firmware	189	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_100_firmware	191	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_100_firmware	195	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_500_firmware	*		Up to (including) 175
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_500_firmware	16q3.1	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_500_firmware	189	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_500_firmware	191	-
	运行在以下环境
	系统	opwglobal	sitesentinel_integra_500_firmware	195	-
	运行在以下环境
	系统	opwglobal	sitesentinel_isite_atg_firmware	*		Up to (including) 175
	运行在以下环境
	系统	opwglobal	sitesentinel_isite_atg_firmware	16q3.1	-
	运行在以下环境
	系统	opwglobal	sitesentinel_isite_atg_firmware	189	-
	运行在以下环境
	系统	opwglobal	sitesentinel_isite_atg_firmware	191	-
	运行在以下环境
	系统	opwglobal	sitesentinel_isite_atg_firmware	195	-
	运行在以下环境
	硬件	opwglobal	sitesentinel_integra_100	-	-
	运行在以下环境
	硬件	opwglobal	sitesentinel_integra_500	-	-
	运行在以下环境
	硬件	opwglobal	sitesentinel_isite_atg	-	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-306	关键功能的认证机制缺失

Exp相关链接

- avd.aliyun.com