施耐德发布公告，确认派尔高 Sarix Pro 网络摄像头存 12 个漏洞

雷锋网消息，2月27日，工控厂商施耐德发布安全公告，确认其派尔高 Sarix Pro 网络摄像头产品存在 12 个安全漏洞，并提醒客户尽快升级固件。据这些漏洞的提交者绿盟科技工控安全研究团队介绍，这12个漏洞中，4个漏洞被评级为严重，7个高危，CVSS最高评分达到了 9.8。

绿盟科技3月2日向雷锋网披露了这些漏洞的部分情况：

2017年11月，绿盟科技工控安全研究团队在工业互联网安全性研究过程中，发现了Pelco Sarix Professional工控网络摄像头存在安全性问题且威胁等级较高，随即将相关情况告知施耐德，并等待厂商发布补丁，便于客户做好防护准备。

2018年3月1日，施耐德更新安全性公告，建议客户尽快更新产品固件到3.29.67，以便修复如下这些漏洞：

CVE-2018-7227，Information Disclosure，CVSS 5.3（中威）

CVE-2018-7228，Authentication Bypass，CVSS 7.5（高危）

CVE-2018-7229，Authentication Bypass，CVSS 7.5（高危）

CVE-2018-7230，XML External Entity Vulnerability，CVSS 7.4（高危）

CVE-2018-7231，Command Execution - ‘system.opkg.remove’，CVSS 9.8（严重）

CVE-2018-7232，Command Execution - ‘network.ieee8021x.delete_certs’，CVSS 9.4（严重）

CVE-2018-7233，Command Execution - ‘model_name’ or ‘mac_address’，CVSS 9.4（严重）

CVE-2018-7234，Arbitrary File Download，CVSS 8.2（高危）

CVE-2018-7235，Command Execution - ‘system.download.sd_file’，CVSS 8.8（高危）

CVE-2018-7236，Authentication Bypass，CVSS 8.1（高危）

CVE-2018-7237，Arbitrary File Delete，CVSS 9.4（严重）

CVE-2018-7238，Buffer Overflow，CVSS 8.4（高危）

施耐德在公告中对漏洞发现者表示了感谢。绿盟科技还向雷锋网透露，其安全团队陆续发现国内外一批工业摄像头产品存在安全性问题，日后将公布情况。这意味着，目前还有一些未知的存在安全问题的工业摄像头正在使用中。

雷峰网版权文章，未经授权禁止转载。详情见转载须知。