概述
CVE-2022-50591是一个影响Advantech iView软件的高危漏洞,CVSS评分为8.8分。该漏洞存在于v5.7.04 Build 6425之前的版本中。
漏洞描述
Advantech iView v5.7.04 Build 6425之前版本在SNMP管理工具中存在漏洞,远程攻击者可以绕过身份验证检查,通过’NetworkServlet’端点中的’ztp_config_id’参数触发SQL注入漏洞。成功利用此漏洞可导致用户数据泄露,包括明文密码。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Advantech | iview |
受影响厂商总数:1 | 产品数:1
解决方案
- 更新到Advantech iView v5.7.04 Build 6425或更高版本
- 应用SNMP管理工具的供应商补丁
- 限制对NetworkServlet端点的访问
- 对’ztp_config_id’参数进行输入清理
CVSS评分详情
基础CVSS评分:8.8(高危)
攻击向量:网络 攻击复杂度:低 攻击要求:无 所需权限:无 用户交互:无 机密性影响:高 完整性影响:低 可用性影响:无
相关参考资源
- https://blog.exodusintel.com/2022/03/01/advantech-iview-ztp_config_id-parameter-sql-injection-information-disclosure-vulnerability/
- https://www.advantech.tw/support/details/firmware?id=1-HIPU-183
- https://www.vulncheck.com/advisories/advantech-iview-ztpconfigid-parameter-sqli-information-disclosure
CWE关联
- CWE-89:SQL命令中使用的特殊元素中和不当(SQL注入)
- CWE-306:关键功能缺少身份验证
漏洞时间线
- 2025年11月6日:收到新的CVE报告
- 2025年11月6日:最后修改