ModbusPal 1.6b - XML外部实体注入

漏洞描述

    ModbusPal是一个MODBUS协议的从站模拟器。其目的是为用户提供一个易于使用的界面,并具有复制和实际复制MODBUS环境的功能。ModbusPal的核心是用Java编写的。 本机支持TCP / IP,并且如果计算机上安装了RxTx库,则支持串行通信。ModbusPal是免费且开源的,在GPL许可下发布。

    ModbusPal 1.6版本容易受到XML外部实体(XXE)攻击。当项目被保存为.xmpp文件,自动化系统可以将其导出为.xmpa文件,这两个文件都是基于XML的,并且容易受到XXE注入的影响。当攻击者发送特制的.xmpp或.xmpa文件给用户时,用户使用ModbusPal 1.6b版本打开/导入文件时时,系统会将任何本地文件的内容返回给远程攻击者。

解决方案

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://modbuspal.sourceforge.net/