2024年07月5日以來,國家信息安全漏洞共享平臺(CNVD)向我司通報了3個漏洞
■ 漏洞信息如下:
①CNVD-C-2024-338079 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞
②CNVD-C-2024-394971 KingPortal客戶端存在目錄遍歷漏洞
③CNVD-C-2024-399241 北京亞控科技發展有限公司KingPortal存在任意文件下載漏洞
漏洞描述:
①北京亞控科技發展有限公司是一家成立于1997年的工業自動化和信息化軟件平臺高科技企業。 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞,攻擊者可利用該漏洞獲取用戶cookie等敏感信息。
②目錄/文件遍歷。
③KingPortal運行系統客戶端是一款純B/S架構面向工業監控領域的web端組態產品。 北京亞控科技發展有限公司KingPortal運行系統客戶端存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
針對上述漏洞,我司及時采取措施,對KingPortal 2.0版本進行漏洞驗證與修復,安全補丁文件詳情如下:
序號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
1 | 北京亞控科技發展有限公司KingPortal開發系統存在XSS漏洞 | 2024/7/12 | 2024/8/7 | KingPortal 2.0 | 替換補丁文件即可 | |
2 | KingPortal客戶端存在目錄遍歷漏洞 | 2024/7/5 | 2024/8/7 | KingPortal 2.0 | 替換補丁文件即可 | |
3 | 北京亞控科技發展有限公司KingPortal存在任意文件下載漏洞 | 2024/7/10 | 2024/8/7 | KingPortal 2.0 | 替換補丁文件即可 |
為有效應對以上漏洞帶來的安全威脅,建議還在使用KingPortal 2.0 的用戶及時下載對應補丁文件進行修復。
北京亞控科技發展有限公司
2024年8月12日
