概述
CVE-2022-50594是一个影响Advantech iView软件的高危漏洞,CVSS评分为8.8。该漏洞存在于v5.7.04 Build 6425之前的版本中。
漏洞描述
Advantech iView v5.7.04 Build 6425之前版本中的SNMP管理工具存在漏洞,远程攻击者能够绕过认证检查,通过NetworkServlet端点的’data’参数触发SQL注入漏洞。成功利用此漏洞可导致用户数据泄露,包括明文密码。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Advantech | iView |
受影响厂商总数:1 | 产品数:1
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 4.0 | 高 | - | - | - | 83251b91-4cc7-4094-a5c7-464a1b83ea10 |
| 8.8 | CVSS 4.0 | 高 | - | - | - | disclosure@vulncheck.com |
解决方案
- 将Advantech iView更新至5.7.04 Build 6425或更高版本
- 应用5.7.04 Build 6425或更新版本
- 限制对NetworkServlet端点的访问
- 监控未经授权的数据访问
参考资源
- https://blog.exodusintel.com/2022/03/01/advantech-iview-page_action_service-parameter-sql-injection-remote-code-execution-vulnerability/
- https://www.advantech.tw/support/details/firmware?id=1-HIPU-183
- https://www.vulncheck.com/advisories/advantech-iview-data-parameter-sqli-information-disclosure
CWE关联
- CWE-89: SQL命令中特殊元素的不当中和(SQL注入)
- CWE-306: 关键功能缺少认证
CAPEC攻击模式
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
- CAPEC-12: 选择消息标识符
- CAPEC-36: 使用未发布的接口或功能
- CAPEC-62: 跨站请求伪造
- CAPEC-166: 强制系统重置值
- CAPEC-216: 通信信道操纵
漏洞时间线
- 发布日期:2025年11月6日 20:15
- 最后修改:2025年11月6日 20:15
- 远程利用:是
- 来源:disclosure@vulncheck.com
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | Advantech iView版本漏洞描述 |
| 新增 | CVSS V4.0 | - | 评分向量 |
| 新增 | CWE | - | CWE-89 |
| 新增 | CWE | - | CWE-306 |
| 新增 | 参考 | - | 三个参考链接 |