Advantech iView是中国研华(Advantech)公司的一个基于简单网络协议(SNMP)来对B+B SmartWorx设备进行管理的软件。
一、漏洞分析
公开日期:2022-12-16
漏洞编号:CNVD-2022-88792/CVE-2022-3323
危害等级:高危
漏洞描述:Advantech iView 5.7.04.6469版本存在SQL注入漏洞,该漏洞源于在其ConfigurationServlet端点中存在缺陷,攻击者可利用漏洞在setConfiguration操作中创建一个特殊的column_value参数,以绕过com.imc.iview.utils.CUtils.checkSQLInjection()中的检查来执行SQL语句,获取数据库数据。
二、漏洞影响产品
Advantech Advantech iView 5.7.04.6469
三、漏洞处置建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.advantech.com.cn/