2024年03月12日以來,國家信息安全漏洞共享平臺(CNVD)向我司通報了4個漏洞,具體的漏洞信息如下:
①CNVD-C-2024-211612 北京亞控科技發展有限公司KingPortal客戶端開發系統存在邏輯缺陷漏洞
②CNVD-C-2024-151031 北京亞控科技發展有限公司KingPortal服務管理工具存在邏輯缺陷漏洞
③CNVD-C-2024-113060 KingPortal客戶端開發系統越權訪問漏洞
④CNVD-C-2024-176374 北京亞控科技發展有限公司KingPortal客戶端開發系統存在邏輯缺陷漏洞
漏洞描述:
北京亞控科技發展有限公司是一家自動化軟件平臺高科技企業。
①北京亞控科技發展有限公司KingPortal開發系統客戶端存在邏輯缺陷漏洞,攻擊者可利用該漏洞通過低權限賬戶,垂直越權,獲取高權限賬戶的權限。
②北京亞控科技發展有限公司KingPortal服務管理系統存在邏輯缺陷漏洞,攻擊者可利用該漏洞繞過登錄驗證管理KingPortal服務。
③北京亞控科技發展有限公司KingPortal開發系統存在未授權訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
④KingPortal客戶端開發系統是一款純B/S架構面向工業監控領域的web端組態產品,是大數據可視化與工業互聯網技術融合的產物。 北京亞控科技發展有限公司KingPortal客戶端開發系統存在邏輯缺陷漏洞,攻擊者可利用該漏洞越權創建工程項目。
針對上述漏洞,我司及時采取措施,對 KingPortal 2.0版本進行漏洞驗證與修復,安全補丁文件詳情如下:
序號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
1 | 北京亞控科技發展有限公司KingPortal客戶端開發系統存在邏輯缺陷漏洞 | 2024.04.10 | 2024.06.03 | KingPortal 2.0 | 更換補丁 | |
2 | 北京亞控科技發展有限公司KingPortal服務管理工具存在邏輯缺陷漏洞 | 2024.03.21 | 2024.06.03 |
| KingPortal 2.0 | 更換補丁 |
3 | KingPortal客戶端開發系統越權訪問漏洞 | 2024.03.12 | 2024.06.03 |
| KingPortal 2.0 | 更換補丁 |
4 | 北京亞控科技發展有限公司KingPortal客戶端開發系統存在邏輯缺陷漏洞 | 2024.03.29 | 2024.06.03 | KingPortal 2.0 | 更換補丁 |
為有效應對以上漏洞帶來的安全威脅,建議還在使用KingPortal 2.0的用戶及時下載對應補丁文件進行修復。
北京亞控科技發展有限公司
2024年6月3日
