关键通用电气Vernova ICS漏洞（CVE-2025-3222，CVSS 9.3）允许Smallworld主文件服务器身份验证绕过

通用电气Vernova电力软件部门发布了一项关键安全公告，解决了其Smallworld主文件服务器（SWMFS）软件中的一个高严重性身份验证漏洞（CVE-2025-3222）。该漏洞被评为CVSS v4.0分数9.3（关键），可能使攻击者能够绕过身份验证，并在某些部署配置中执行提升权限的命令。

该漏洞影响从v3.0.0到v5.3.3（Linux）以及到v5.3.4（Windows）的Smallworld部署。根据通用电气Vernova的说法，利用该漏洞需要“一个了解系统、底层协议以及已配置访问权限用户相关权限的用户”。

这种细微差别表明，未经身份验证的外部人员无法远程利用该攻击，但内部人员或操作环境中的受感染账户可能滥用该漏洞。

“只有了解系统的用户才能利用该漏洞……安全的部署和强大的用户访问管理至关重要，”公告强调。“通用电气Vernova强烈建议客户遵守最新的安全部署指南说明。”

该问题已在以下版本中完全解决：

• Linux SWMFS用户的v5.3.4
• Windows SWMFS用户的v5.3.5

通用电气Vernova敦促客户升级到这些修复版本，作为“解决漏洞的最完整方法”。

该公司进一步指出，任何未通过身份验证服务器（如UAA或Zitadel）使用桌面身份验证的Smallworld部署，如果未符合安全部署指南，则仍然暴露于风险中。

由于Smallworld广泛用于运营技术（OT）和工业控制系统（ICS）网络，不当的身份验证可能对电网运营商、公用事业公司和能源基础设施提供商产生严重影响。通用电气Vernova承认这种敏感性，并敦促客户审查其纵深防御策略，包括网络分段和隔离实践。

鼓励客户联系当地的通用电气Vernova支持代表以获取更新的软件版本，并通过通用电气Vernova数字支持门户注册自动通知。