跳转到主要

多个跨站脚本漏洞博世VIDEOJET多4000raybet雷竞技ios下载

raybet雷竞技ios下载博世- sa - 454166 - bt

咨询信息

总结

的可能性反映了跨站脚本(XSS)和存储跨站脚本(XSS)攻击被发现在博世VIDEOJET多4000。raybet雷竞技ios下载

更多细节请参见这个咨询的脆弱性的描述。

raybet雷竞技ios下载博世利率这个漏洞CVSSv3.1基础得分5.8(中)和5.1(中),在最后的评级取决于客户的环境。

建议客户更新固定版本或遵循上市移植。

受影响的产品

  • raybet雷竞技ios下载4000年博世VIDEOJET多
    • cve cve - 2022 - 40183 - 2022 - 40184
      • 版本(s): < = 6.31.0010

解决方案和移植

软件更新

推荐的方法是更新博世VIDEOJET多4000的固定版本。raybet雷竞技ios下载请参阅附录为可用的版本和影响列表更新。

应用更新后需要重新启动。检查是否更新成功,请检查版本如在基于web的接口(服务——系统概述)。

如果更新是不可能在目标环境中,用户建议遵循以下部分描述的措施之一。

安全配置环境

建议使用一个博世工具配置管理器配置编码器,这不raybet雷竞技ios下载是等问题容易受到XSS(跨站脚本)或CSRF(跨站请求伪造)。

当使用基于web的配置接口,目前以管理员身份登录,可以采取一些安全措施减轻XSS或CSRF漏洞:

  • 没有其他网站或电子邮件内容应该只要会话打开编码器是活跃的。

  • 没有链接应该从一个不可信的外部来源,点击链接回编码器。

  • 使用不同的浏览器比系统默认浏览器打开一个会话的编码器之间没有XSS或CSRF浏览器。

  • 总是注销和/或关闭浏览器不仅(选项卡)清除任何会话数据。

安全管理

存储XSS攻击只能当一个具有管理员权限的用户能够拯救恶意JavaScript代码在设备上。只有可信用户应该访问管理界面和共同安全规则管理凭证应遵循(例如使用强,独特的密码)。

漏洞细节

cve - 2022 - 40183

CVE描述:一个错误的URL处理器VIDEOJET 4000多可能导致跨站脚本(XSS)反映在基于web的接口。攻击者了解编码器地址可以发送一个精心制作的链接到一个用户,将用户的上下文中执行的JavaScript代码。

cve - 2022 - 40184

CVE描述:不完全过滤的JavaScript代码在不同配置字段的基于web的界面VIDEOJET多4000允许攻击者具有管理凭据存储JavaScript代码将执行所有管理员访问相同的配置选项。

讲话

安全更新信息

对指令(欧盟)2019/770和2019/771指令(欧盟)和他们的国家换位法,请注意:

是你的责任和/或下载安装任何安全更新由我们提供,例如维护产品和数据安全。如果你没有安装安全更新提供给你在一个合理的时间内,我们将不负责任何产品缺陷完全是因为缺乏这样的安全更新。

另外,我们有资格直接下载和/或安装安全更新不管你的设置。在这些情况下,我们将为您提供相关信息,如在这个安全咨询。

CVSS分数

脆弱性分类进行使用CVSS v3.1评分系统。CVSS环境得分是特定于每个客户的环境,应该定义为客户达到最终得分。

额外的资源

请联系博世PSIRT如果你有反馈,评论raybet雷竞技ios下载,或额外的信息关于这个漏洞:psirt@raybet雷竞技ios下载bosch.com

修订历史

  • 2023年1月18日:添加修复漏洞
  • 2022年10月19日:首次出版

附录

受影响的产品

raybet雷竞技ios下载4000年博世VIDEOJET多

影响VIDEOJET多4000固件 名称的版本修复漏洞
6.31.0010早些时候,
6.31.0019

VIDEOJET多下载区

材料列表

VIDEOJET多4000

卡通 SAP # 材料描述
VIDEOJET多4000
vjm - 4016
F.01U.298.670
VIDEOJET多4000
4000年欧盟VIDEOJET多
vjm - 4016欧盟
F.01U.296.122
4000年欧盟VIDEOJET多
VIDEOJET多4000美元
vjm - 4016
F.01U.298.556
VIDEOJET多4000美元