施耐德电气(SchneiderElectric)为其EcoStruxure机器专家(又称SoMachineBasic)发布了一个安全更新，该产品针对的是一个严重的漏洞，跟踪CVE-2018-7783，这可能被一个远程和未经身份验证的攻击者利用，以获取敏感数据。

“SoMachine基础受到XML外部实体(XXE)的攻击，它使用DTD参数实体技术，通过out-band(OOB)攻击在受影响的节点上公开和检索任意数据。施耐德电气(SchneiderElectric)出版的安全咨询报告写道。

“当传递给xml解析器的输入在解析xml项目/模板文件时没有被清除时，就触发了漏洞。”

EcoStruxure机器专家是对SchneiderModiconM221可编程逻辑控制器(PLC)编程的工具。

“ML外部实体”(XXE)漏洞是由工业网络安全公司AppliedRisk的研究员GjokoKrstic发现的。

根据专家的说法，这一缺陷影响了SoMachine基础1.6.0构建61653,1.5.5SP1构建了60148，很可能是早期版本，它可能被攻击者利用来启动一个外带(OOB)攻击。

为了利用漏洞，攻击者必须欺骗受害者，以打开一个专门制作的SoMachine基本项目或模板文件。

Krstic还发现，在某些情况下，攻击者可以触发任意代码执行的漏洞，并导致拒绝服务(DoS)条件。

施耐德电气通过发行解决了这一漏洞。

SoMachine基本施耐德电气

在5月初，Tenable的研究人员公开了技术细节和PoC代码，用于影响施耐德电气InduSoftWebStudio和InTouch机器版产品的关键远程代码执行漏洞。

几天前，施耐德电气(SchneiderElectric)发布了一份安全咨询报告，警告客户在施耐德电气(SchneiderElectric)的《PlantStruxurePES》(PlantStruxurePES)软件中使用的FlexeraFlexNet出版商组件中存在多个漏洞。

一周前，施耐德还发表了另一份报告，告知客户这些缺陷也会影响到PlantStruxurePES。

Pierluigi帕格尼尼

(安全事务-SoMachineBasic,SchneiderElectric)