一、 漏洞 CVE-2023-50222 基础信息
漏洞标题
感应自动化Ignition响应解析器通知反序列化不受信任数据的远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
感应自动化点火响应解析器通知非信任数据反序列化远程代码执行漏洞。此漏洞允许远程攻击者在受影响的感应自动化点火安装上执行任意代码。利用此漏洞需要用户交互,目标必须连接到恶意服务器。 具体漏洞存在于ResponseParser方法中。问题在于没有对用户提供的数据进行适当验证,可能导致非信任数据的反序列化。攻击者可以利用此漏洞在当前用户的上下文中执行代码。这是ZDI-CAN-22067。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
Inductive Automation Ignition ResponseParser Notification Deserialization of Untrusted Data Remote Code Execution Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Inductive Automation Ignition ResponseParser Notification Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. User interaction is required to exploit this vulnerability in that the target must connect to a malicious server. The specific flaw exists within the ResponseParser method. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of the current user. Was ZDI-CAN-22067.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Inductive Automation Ignition 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Inductive Automation Ignition是美国Inductive Automation公司的一套用于SCADA系统的集成软件平台。该平台支持SCADA(数据采集与监控系统)、HMI(人机界面)等。 Inductive Automation Ignition存在安全漏洞,该漏洞源于ResponseParser方法的Notification存在远程代码执行漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-50222 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-50222 的情报信息