CVE編號 | 尚無CVE編號 |
---|---|
影響產品 | PI AF 2.6 new installs, PI AF 2.7 upgrade, and PI SQL for AF 2.1. |
解決辦法 | 請參考相關修正資訊連結,進行手動修正 |
張貼日 | 2015-05-13 |
上稿單位 | TWCERT/CC |
OSIsoft公司開發用於獲取,處理,分析,並存儲任何形式的即時數據的軟體。PI (AF)伺服器使用 Microsoft SQL Server 資料庫。OSIsoft的目標市場包括:石油和天然氣; 化工和石化; 材料,礦山,金屬和冶金; 電力和公用事業; 紙漿和紙; 藥品,食品和生命科學、關鍵設施、數據中心、IT和聯邦。在PI (AF)伺服器上有部分產品在“PI SQL (AF) Trusted Users”群組中有"Everyone"這個帳戶,使用者可在“PI SQL (AF) Trusted Users”的群組可以繞過大多數的安全檢查,讓駭客可透過SQL injection技巧進行攻擊,造成資料竄改、資訊竊取、提升權限或DoS等攻擊。