美国Emerson公司是一家多元化的全球制造商，业务范围涵盖过程管理、工业自动化、网络能源、环境优化技术和商住解决方案等。Emerson OpenEnterprise v3是专为远程油气应用程序而设计的 SCADA 平台。

Kaspersky的安全研究人员Roman Lozko发现Emerson OpenEnterprise软件存在三个安全漏洞，其中包含一个超危漏洞。如成功利用这些漏洞，远程攻击者可访问OpenEnterprise配置服务或获取OpenEnterprise用户账户密码。

该超危漏洞编号为CVE-2020-10640，CVSS v3评分为10.0。该漏洞源于软件对关键函数缺少身份认证。攻击者可借助某个特定的通信服务利用该漏洞以系统权限执行任意命令或远程执行代码。

Lozko还在Emerson OpenEnterprise软件中发现一个高危漏洞和一个中危漏洞。该高危漏洞编号为CVE-2020-10632，该漏洞源于对文件夹的安全权限管理错误，攻击者可利用该漏洞修改重要的配置文件，从而造成系统故障或行为异常。

最后的中危漏洞编号为CVE-2020-10636，攻击者可利用该漏洞获取OpenEnterprise用户账户密码。

这三个安全漏洞影响OpenEnterprise 3.3.4及之前版本。Emerson已在OpenEnterprise 3.3，Service Pack 5（3.3.5）中修复了这些漏洞。

这并不是Lozko首次发现Emerson OpenEnterprise软件存在安全漏洞。此前，Lozko还发现影响OpenEnterprise软件3.1版本至3.3.3版本的一个高危缓冲区错误漏洞。