罗克韦尔自动化修复Verve资产管理器关键权限提升漏洞(CVE-2025-11862,CVSS 9.9)

罗克韦尔自动化发布关键安全公告,修复其Verve资产管理器平台中的严重权限提升漏洞(CVE-2025-11862)。该漏洞(CVSS评分9.9)允许只读用户通过API执行管理操作,可能完全控制系统,影响工业环境运营安全。

罗克韦尔自动化修复Verve资产管理器关键权限提升漏洞(CVE-2025-11862,CVSS 9.9)

罗克韦尔自动化发布了一项关键安全公告,解决其Verve资产管理器平台中发现的一个严重权限提升漏洞(CVE-2025-11862,CVSS 9.9)。Verve资产管理器是一个统一的OT网络安全系统,广泛用于工业控制系统的可见性、漏洞管理和安全自动化。

该漏洞是在常规安全测试期间内部发现的,可能允许只读用户提升权限并操作用户账户,可能导致完全的系统被控制。

被追踪为CVE-2025-11862的漏洞存在于Verve资产管理器API中,该API未能正确执行授权控制。这使得具有只读权限的用户能够执行管理操作,包括读取、更新和删除其他用户账户。

公告确认:“在Verve资产管理器中发现了一个安全问题,允许未经授权的只读用户通过API读取、更新和删除用户。“这样的漏洞有效地绕过了访问限制,使具有有限访问权限的攻击者能够提升权限、中断安全工作流程或删除管理员账户以拒绝操作访问。

鉴于Verve资产管理器在管理关键OT网络可见性和自动化任务中的作用,利用该漏洞可能导致工业环境(包括能源、制造业和公用事业)的重大运营中断。

该漏洞影响Verve资产管理器的多个构建版本——特别是1.33至1.41.3版本。罗克韦尔已在1.41.4及更高版本(包括1.42)中发布了补丁,完全缓解了该问题。罗克韦尔强烈建议所有客户立即更新到修补版本,以防止通过API端点进行未经授权的访问或修改。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次