概述
CVE-2022-50594是Advantech iView软件中存在的一个高危漏洞,影响v5.7.04 Build 6425之前的所有版本。
漏洞描述
Advantech iView v5.7.04 Build 6425之前版本中的SNMP管理工具存在漏洞,远程攻击者能够绕过身份验证检查,通过'NetworkServlet'端点中的'data'参数触发SQL注入漏洞。成功利用此漏洞可导致用户数据泄露,包括明文密码。
技术细节
受影响产品
| ID | 厂商 | 产品 |
|---|---|---|
| 1 | Advantech | iView |
CVSS评分
| 分数 | 版本 | 严重等级 | 数据来源 |
|---|---|---|---|
| 8.8 | CVSS 4.0 | 高危 | disclosure@vulncheck.com |
| 8.8 | CVSS 4.0 | 高危 | 83251b91-4cc7-4094-a5c7-464a1b83ea10 |
关联的CWE弱点
- CWE-89: SQL命令中特殊元素的不当中和(SQL注入)
- CWE-306: 关键功能缺少身份验证
解决方案
- 将Advantech iView更新至版本5.7.04 Build 6425或更高版本
- 应用版本5.7.04 Build 6425或更新版本
- 限制对NetworkServlet端点的访问
- 监控未经授权的数据访问
参考资源
攻击模式分类(CAPEC)
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
漏洞时间线
- 发布日期: 2025年11月6日 20:15
- 最后修改: 2025年11月6日 20:15
- 远程利用: 是
- 漏洞来源: disclosure@vulncheck.com
