平台
other
组件
softing-smartlink-hw-dp-hw-pn-webserver
修复版本
1.31.1
1.02
CVE-2024-14028 描述了 Softing smartLink HW-DP 或 smartLink HW-PN webserver 中存在的 DoS 漏洞。该漏洞允许攻击者通过 HTTP DoS 攻击导致服务中断。受影响的版本包括 smartLink HW-DP (1.31 及以下) 和 smartLink HW-PN (1.02 以下)。该漏洞已在 1.02 版本中得到修复。
CVE-2024-14028 影响 Softing 的 smartLink HW-DP 和 smartLink HW-PN 设备,特别是它们的 Web 服务器。这是一个“use-after-free”(使用后释放)漏洞,可能被利用来执行 HTTP 拒绝服务(DoS)攻击。这意味着攻击者可能会使 Web 服务器过载,使其无法供合法用户访问。受影响的 smartLink HW-DP 版本是到 1.31,而 smartLink HW-PN 在版本低于 1.02 时存在漏洞。根据 CVSS,此漏洞的严重程度为 6.5,表明存在中等风险。缺少 KEV(内核可利用向量)表明漏洞的利用可能需要特定条件或更复杂。
此漏洞存在于 smartLink HW-DP 和 HW-PN 设备的集成 Web 服务器中。攻击者可以通过发送专门设计的 HTTP 请求来利用此漏洞,这些请求会触发“use-after-free”条件。这可能导致 Web 服务器崩溃,使其无法响应合法的请求。漏洞利用可能需要深入了解 Web 服务器的内部工作原理以及发送自定义 HTTP 请求的能力。虽然尚未发布公共漏洞利用程序,但漏洞的性质使其成为熟练攻击者的潜在目标。
Organizations utilizing Softing smartLink HW-DP or HW-PN devices in industrial control systems, data acquisition networks, or any environment where the webserver is exposed to external or untrusted networks are at risk. Legacy deployments running older firmware versions are particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
减轻此漏洞的解决方案是将其 smartLink HW-DP 和 smartLink HW-PN 设备的固件更新到版本 1.02 或更高版本。Softing 发布了此版本以解决“use-after-free”问题。尽快应用此更新对于保护您的系统免受潜在的 DoS 攻击至关重要。在更新之前,建议备份当前设备配置。请参阅 Softing 官方文档以获取有关如何更新固件的详细说明。此外,实施诸如防火墙和入侵检测系统之类的常规安全措施可以帮助降低攻击风险。
将 Softing smartLink HW-DP 设备的固件更新到 1.31 之后的版本,或将 Softing smartLink HW-PN 设备的固件更新到 1.02 或更高版本。这将解决允许拒绝服务 HTTP 攻击的 Use after free 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
HTTP DoS 攻击是一种攻击类型,攻击者试图通过向 Web 服务器发送大量请求来使其过载,从而使其无法供合法用户访问。
这是一种编程错误,当程序尝试访问已释放的内存时会发生这种情况。这可能导致崩溃或允许攻击者执行恶意代码。
您可以在 Softing 官方网站下载固件更新:[Insert link to Softing website here].
如果您在更新固件时遇到问题,请联系 Softing 技术支持寻求帮助。
截至目前,尚未发布此漏洞的公共漏洞利用程序。但是,重要的是作为预防措施应用固件更新。
CVSS 向量