?全球能效管理領域的領導者施耐德電氣(Schneider Electric)在上周二針對存在于SoMachine Basic編程軟件中的一個高危漏洞發布了修復程序，該漏洞可以被遠程利用以獲取敏感數據。

　　SoMachine Basic，也被稱為EcoStruxure Machine Expert，是一款輕量級的編程軟件，專為施耐德Modicon M221可編程邏輯控制器(Programmable Logic Controller，PLC)而設計，用于開發PLC的程序代碼。

　　工業網絡安全公司Applied Risk的研究員Gjoko Krstic最近發現，SoMachine Basic 1.6.0 build 61653和SoMachine Basic 1.5.5 SP1 build 60148，并且很有可能所有的早期版本都受一個XML外部實體注入(XXE)漏洞的影響，該漏洞可被利用來發起帶外數據(Out of Band，OOB)攻擊。

　　這個漏洞被追蹤為CVE-2018-7783，CVSS V3評分8.6，屬于一個高危漏洞。該漏洞可被未經身份驗證的遠程攻擊者利用來讀取目標系統上的任意文件，而這些文件可能包含敏感信息，如密碼、用戶數據和有關系統的詳細信息。

　　Krstic指出，想要利用這個漏洞，攻擊者必須誘騙受害者以打開特制的SoMachine Basic項目或模板文件。另外，在某些情況下，這個漏洞也可能被利用來執行任意代碼并導致目標系統進入拒絕服務(DoS)狀態。

　　目前，施耐德電氣已經通過發布SoMachine Basic v1.6 SP1對這個漏洞進行了修復，并建議用戶盡快下載修補程序或使用Schneider Electric軟件更新工具進行更新。