概述

CVE-2025-62630是Advantech DeviceOn/iEdge系统中存在的一个路径遍历漏洞，CVSS 3.1评分为8.8分，属于高危漏洞。

漏洞描述

由于文件路径消毒不足，攻击者可以上传特制的配置文件来遍历目录，并以系统级权限实现远程代码执行。

漏洞时间线

• 发布日期: 2025年11月6日 23:15
• 最后修改: 2025年11月6日 23:15
• 远程利用: 是
• 来源: ics-cert@hq.dhs.gov

受影响产品

目前尚未记录受影响的具体产品信息：

• 受影响供应商总数: 0
• 产品数量: 0

CVSS评分

CVSS 3.1

• 评分: 8.8
• 严重性: 高危
• 向量: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 4.0

• 评分: 8.7
• 严重性: 高危
• 向量: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

解决方案

• 对所有文件上传进行消毒处理
• 验证文件路径以防止目录遍历和远程代码执行
• 对所有用户提供的文件路径进行消毒
• 验证上传的文件内容
• 限制文件上传位置
• 对文件操作应用最小权限原则

相关参考

• https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-310-01.json
• https://www.advantech.com/emt/contact
• https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01

CWE关联

CWE-22: 对路径名到受限目录的限制不当（路径遍历）

CAPEC攻击模式

• CAPEC-64: 使用斜杠和URL编码组合绕过验证逻辑
• CAPEC-76: 操纵Web输入到文件系统调用
• CAPEC-78: 在替代编码中使用转义斜杠
• CAPEC-79: 在替代编码中使用斜杠
• CAPEC-126: 路径遍历

漏洞历史记录

2025年11月6日 - 由ics-cert@hq.dhs.gov接收新CVE

变更记录:

• 添加标签: unsupported-when-assigned
• 添加漏洞描述
• 添加CVSS V4.0评分
• 添加CVSS V3.1评分
• 添加CWE-22分类
• 添加相关参考链接