漏洞信息详情

多款Honeywell Excel Web控制器FTP服务器路径遍历漏洞

• CNNVD编号：CNNVD-201503-636
• 危害等级： 中危
  
• CVE编号： CVE-2015-0984
• 漏洞类型： 路径遍历
• 发布时间： 2015-03-31
• 威胁类型： 远程
• 更新时间： 2015-04-03
• 厂        商： honeywell
• 漏洞来源：

漏洞简介

FTP server on Honeywell Excel Web XL1000C50等是美国霍尼韦尔国际（Honeywell International）公司的一款用于XLWeb控制器系列（基于Web的SCADA系统）的FTP服务器。

多款Honeywell Excel Web控制器的FTP服务器中存在目录遍历漏洞。远程攻击者可借助特制的路径名利用该漏洞读取Web root目录下的任意文件，获取管理员登陆访问权限。以下产品及版本受到影响：Honeywell Excel Web XL1000C50 52 I/O，XL1000C100 104 I/O，XL1000C500 300 I/O，XL1000C1000 600 I/O，XL1000C50U 52 I/O UUKL，XL1000C100U 104 I/O UUKL，XL1000C500U 300 I/O UUKL，XL1000C1000U 600 I/O UUKL控制器2.04.01之前版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.centraline.com/index.php?id=847&route=article/index&directory_id=140&direct_link=1

参考网址

来源:US-CERT Vulnerability Note:ics-cert.us-cert.gov

链接:https://ics-cert.us-cert.gov/advisories/ICSA-15-076-02

受影响实体

• Honeywell Excel_web_xl_1000c1000_600_i%2fo_uukl:2.04.00  
• Honeywell Excel_web_xl_1000c500_300_i%2fo_uukl:2.04.00  
• Honeywell Excel_web_xl_1000c100u_104_i%2fo_uukl:2.04.00  
• Honeywell Excel_web_xl_1000c50u_52_i%2fo_uukl:2.04.00  
• Honeywell Excel_web_xl_1000c1000_600_i%2fo:2.04.00  

补丁

暂无