Schneider Electric U.Motion Builder SQL注入漏洞

漏洞信息详情

Schneider Electric U.Motion Builder SQL注入漏洞

CNNVD编号：CNNVD-201905-612
危害等级：超危-->
危害等级：超危
CVE编号： CVE-2018-7841
漏洞类型： SQL注入
发布时间： 2019-05-14
威胁类型：远程
更新时间： 2019-05-24
厂商：
漏洞来源： Julien Ahrens

漏洞简介

Schneider Electric U.Motion Builder是法国施耐德电气（Schneider Electric）公司的一套建筑物智能管理系统。

Schneider Electric U.Motion Builder 1.3.4及之前版本中的track_import_export.php脚本中存在操作系统命令注入漏洞，该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。

漏洞公告

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://www.rcesecurity.com/

参考网址

来源:www.schneider-electric.com

链接:https://www.schneider-electric.com/ww/en/download/document/SEVD-2019-071-02

来源:seclists.org

链接:http://seclists.org/fulldisclosure/2019/May/26

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.html

来源:packetstormsecurity.com

链接:https://packetstormsecurity.com/files/152862/Schneider-Electric-U.Motion-Builder-1.3.4-Command-Injection.html

来源:www.exploit-db.com

链接:https://www.exploit-db.com/exploits/46846

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2018-7841

受影响实体

暂无

补丁

暂无

正文

Schneider Electric U.Motion Builder SQL注入漏洞

漏洞信息详情