当前位置：首页 > news >正文

2021年新公开工业控制系统严重漏洞汇总

news 2026/3/28 1:43:17

声明

本文是学习ITOT一体化工业信息安全态势报告（2019）. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

工业互联网安全威胁

2021年新公开工业控制系统严重漏洞

缓冲区溢出漏洞

缓冲区溢出（buffer overflow）是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出漏洞进行攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。如2019年12月，研华（Advantech）公司发布通报称，DiagAnywhere Server软件存在高危漏洞。

Advantech DiagAnywhere Server 缓冲区溢出漏洞（CVE-2019-18257）

威胁预警： CVSS v3 9.8 （高危漏洞）

风险评估：成功利用该漏洞，可能允许远程执行代码。

受影响的产品：DiagAnywhere服务器版本3.07.11及更低版本

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://www.advantech.com

拒绝服务漏洞

拒绝服务漏洞是指可以实现拒绝服务攻击（ Denial of Service，DOS）的漏洞。DOS攻击的目的是使计算机或网络无法提供正常的服务。利用拒绝服务漏洞进行攻击，攻击者往往不需要具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的。如2019年7月，西门子（Siemens）公司发布通报称，Siemens SIPROTEC 5和Siemens DIGISI 5存在高危漏洞。

Siemens SIPROTEC 5和Siemens DIGISI 5拒绝服务漏洞（ CVE-2019-10931）

威胁预警： CVSS v3 7.8（高危漏洞）

风险评估：攻击者可借助特制的数据包利用该漏洞造成拒绝服务。

受影响的产品：

Siemens DIGSI 5 < V7.90

Siemens SIPROTEC 5

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://cert-portal.siemens.com/productcert/pdf/ssa-899560.pdf

访问控制漏洞

访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。访问控制漏洞，就是攻击者可以绕过安全限制，执行未授权的操作。利用访问控制漏洞进行攻击，可以导致系统的信息泄露、被篡改、删除，甚至可以取得系统特权，进而进行各种非法操作。如2019年11月，西门子（Siemens）公司发布通报称，Siemens SIMATIC S7-1200 CPU存在高危漏洞。

Siemens SIMATIC S7-1200 CPU访问控制漏洞（CVE-2019-13945）

威胁预警： CVSS v3 10（高危漏洞）

风险评估：成功利用该漏洞，攻击者可以通过物理访问异步收发传输器接口控制进程。

受影响的产品：

Siemens SIMATIC S7-1200 CPU

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://cert-portal.siemens.com/productcert/pdf/ssa-686531.pdf

跨站脚本漏洞

跨站脚本漏洞通常存在于客户端和服务器端，是能够实现跨站脚本攻击（Cross-site scripting，通常简称为XSS）的漏洞。，利用XSS漏洞可以进行广告拦截、窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等各种各样网络攻击。如2019年3月，摩莎（Moxa ）公司发布通报称，Moxa IKS和EDS存在高危漏洞。

Moxa IKS和EDS访问控制漏洞（CVE-2019-6565）

威胁预警： CVSS v3 10（高危漏洞）

风险评估：成功利用该漏洞，攻击者可进行跨站脚本攻击。

受影响的产品：

Moxa IKS-G6824A <=4.5
Moxa EDS-405A <=3.8
Moxa EDS-408A <=3.8
Moxa EDS-510A <=3.8

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://www.moxa.com/support/request_support.aspx

未授权访问漏洞

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面等存在一定的缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露的漏洞。如2019年10月，研华（Advantech ）公司发布通报称，Advantech WISE-PaaS/RMM存在高危漏洞。

Advantech WISE-PaaS/RMM未授权访问漏洞（CVE-2019-13547）

威胁预警： CVSS v3 9.8（高危漏洞）

风险评估：成功利用该漏洞，未经身份验证的攻击者可以使用工控设备。

受影响的产品：

Advantech WISE-PaaS/RMM 3.3.29及之前版本

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://www.advantech.com

远程代码执行漏洞

远程代码执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，远程代码执行漏洞会导致攻击者在目标系统执行任意命令。如2019年12月，西门子（Siemens）公司发布通报称，Siemens SPPA-T3000 Application Server存在高危漏洞。

Siemens SPPA-T3000 Application Server远程代码执行漏洞（CVE-2019-18283）

威胁预警： CVSS v3 9.8（高危漏洞）

风险评估：成功利用该漏洞，攻击者可在服务器上执行任意代码。

受影响的产品：

Siemens SPPA-T3000 Application Server（全部版本）

漏洞解决方案：

用户可关注该链接，掌握漏洞修复方案：

https://www.siemens.com

延伸阅读

更多内容可以 ITOT一体化工业信息安全态势报告（2019）. 进一步学习

联系我们

T-QGCML 545—2022 蒸汽管道采用气凝胶绝热毡保温技术规程.pdf

2021年新公开工业控制系统严重漏洞汇总

声明

工业互联网安全威胁

2021年新公开工业控制系统严重漏洞

延伸阅读

联系我们

相关文章：

2021年新公开工业控制系统严重漏洞汇总

Canvas鼠标滚轮缩放以及画布拖动(图文并茂版)

[ECCV 2020] FGVC via progressive multi-granularity training of jigsaw patches

Python推导式

Java列表List的定查改增删操作

day03java语言特性 JDK、JRE、JVM

HydroD 实用教程（二）有限元模型

Java中的Set集合

【RabbitMQ五】——RabbitMQ路由模式（Routing）

【C语言】宏定义结构体枚举变量的用法

锁升级之Synchronized

基于nodejs+vue疫情网课管理系统

Zabbix 构建监控告警平台（三）

Linux系统之dool命令行工具的基本使用

LeetCode-2335-装满杯子需要的最短总时长

npm ERR! code ELIFECYCLE解决方案，npm犯错!myweb@1.0.0构建脚本失败。

最小二乘支持向量机”在学习偏微分方程（PDE）解方面的应用（Matlab代码实现）

ISYSTEM调试实践8-winIDEA Analyzer功能1

每日学术速递2.11

宝塔搭建实战php开源likeadmin通用管理admin端vue3源码（二）

ConvNeXt 改进：ConvNeXt添加SAConv(可切换空洞卷积)，自适应融合多尺度特征，优化小目标与遮挡目标感知，二次创新CNBlock结构

Dark Reader实用指南：解决夜间浏览痛点的高效方案

STM32CubeMX实战：5分钟搞定RTC定时唤醒低功耗设计（附LED状态检测技巧）

SketchUp STL插件：从数字设计到3D打印的无缝桥梁

【YOLOv11工业级实战】35. DeepStream集成实战——构建高并发视频分析管道

VAP：腾讯开源的高性能动画播放引擎，如何让你的应用动起来更流畅？

人工智能毕业设计2026方向集合

SLAM Toolbox应用宝典：从技术原理到实战落地的全面指南

终极指南：掌握JSON-BigInt解决JavaScript大整数精度丢失问题

超级AI数字员工源码系统，支持贴牌OEM，独立部署交付