全球能效管理领域的领导者施耐德电气（SchneiderElectric）在上周二针对存在于SoMachineBasic编程软件中的一个高危漏洞发布了修复程序，该漏洞可以被远程利用以获取敏感数据。

SoMachineBasic，也被称为EcoStruxureMachineExpert，是一款轻量级的编程软件，专为施耐德ModiconM221可编程逻辑控制器（ProgrammableLogicController，PLC）而设计，用于开发PLC的程序代码。

工业网络安全公司AppliedRisk的研究员GjokoKrstic最近发现，和，并且很有可能所有的早期版本都受一个XML外部实体注入（XXE）漏洞的影响，该漏洞可被利用来发起带外数据（OutofBand，OOB）攻击。

这个漏洞被追踪为CVE-2018-7783，CVSSV3评分8.6，属于一个高危漏洞。该漏洞可被未经身份验证的远程攻击者利用来读取目标系统上的任意文件，而这些文件可能包含敏感信息，如密码、用户数据和有关系统的详细信息。

Krstic指出，想要利用这个漏洞，攻击者必须诱骗受害者以打开特制的SoMachineBasic项目或模板文件。另外，在某些情况下，这个漏洞也可能被利用来执行任意代码并导致目标系统进入拒绝服务（DoS）状态。

目前，施耐德电气已经通过发布对这个漏洞进行了修复，并建议用户尽快下载修补程序或使用SchneiderElectric软件更新工具进行更新。