一、 漏洞 CVE-2020-12034 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
使用EDS子系统的产品:28.0.1及之前版本(FactoryTalk Linx软件(先前称为RSLinx Enterprise):版本6.00,6.10和6.11,RSLinx Classic:版本4.11.00及之前,RSNetWorx软件:版本28.00.00及之前, Studio 5000 Logix Designer软件:版本32及之前)有风险。EDS子系统缺乏足够的输入 sanitation,这可能导致攻击者创建特殊的EDS文件来注入SQL查询并操纵存储EDS文件的数据库。这可能导致拒绝服务条件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Products that use EDS Subsystem: Version 28.0.1 and prior (FactoryTalk Linx software (Previously called RSLinx Enterprise): Versions 6.00, 6.10, and 6.11, RSLinx Classic: Version 4.11.00 and prior, RSNetWorx software: Version 28.00.00 and prior, Studio 5000 Logix Designer software: Version 32 and prior) is vulnerable.The EDS subsystem does not provide adequate input sanitation, which may allow an attacker to craft specialized EDS files to inject SQL queries and manipulate the database storing the EDS files. This can lead to denial-of-service conditions.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Rockwell Automation EDS Subsystem SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Rockwell Automation RSLinx Enterprise是美国罗克韦尔(Rockwell Automation)公司的一套通讯管理软件。该软件可为Allen-Bradley(A-B)的可编程控制器、各种Rockwell软件、A-B应用软件建立起通讯联系。 Rockwell Automation EDS Subsystem 28.0.1及之前版本中存在SQL注入漏洞,该漏洞源于程序没有充分清理用户输入。攻击者可借助特制EDS文件利用该漏洞导致拒绝服务。以下产品及版本受到影响:Factory
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-12034 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-12034 的情报信息