CVE-2025-11787 - Circutor SGE-PLC1000/SGE-PLC50中的命令注入漏洞
概述
CVSS 4.0评分:8.5(高危)
漏洞描述
Circutor SGE-PLC1000/SGE-PLC50设备v9.0.2版本的操作系统中存在命令注入漏洞,攻击者可通过GetDNS()、CheckPing()和TraceRoute()函数利用此漏洞。
基本信息
- 发布日期: 2025年12月2日 13:15
- 最后修改: 2025年12月2日 17:16
- 可远程利用: 是
- 信息来源: cve-coordination@incibe.es
受影响产品
以下产品受到CVE-2025-11787漏洞影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | circutor | Sge-plc1000_sge-plc50 |
总计受影响供应商:1 | 受影响产品:1
CVSS评分详情
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.5 | CVSS 4.0 | 高危 | 0cbda920-cd7f-484a-8e76-bf7f4b7f4516 | |||
| 8.5 | CVSS 4.0 | 高危 | cve-coordination@incibe.es |
CVSS 4.0基础评分:8.5
攻击向量: 网络 攻击复杂度: 低 攻击要求: 无 所需权限: 低 用户交互: 主动 VS机密性: 高 VS完整性: 高 VS可用性: 高 SS机密性: 无 SS完整性: 无 SS可用性: 无
解决方案
- 更新设备固件至最新可用版本,修复命令注入缺陷
- 应用供应商提供的最新固件更新
- 限制对受影响功能的访问
- 监控网络流量以检测可疑命令
参考信息
CWE - 常见弱点枚举
CWE-78: 操作系统命令中使用的特殊元素的不当中和(OS命令注入)
常见攻击模式枚举与分类(CAPEC)
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多层输入解释
- CAPEC-88:OS命令注入
- CAPEC-108:通过SQL注入执行命令行
GitHub上的概念验证利用
(结果限制为前15个存储库,以避免性能问题)
相关新闻
(结果限制为前20篇新闻文章,以避免性能问题)
漏洞时间线
2025年12月2日: cve-coordination@incibe.es收到新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 标签 | unsupported-when-assigned | |
| 添加 | 描述 | Circutor SGE-PLC1000/SGE-PLC50 v9.0.2版本操作系统中的命令注入漏洞,可通过’GetDNS()’、‘CheckPing()‘和’TraceRoute()‘函数利用 | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-78 | |
| 添加 | 参考 | https://www.incibe.es/en/incibe-cert/notices/aviso-sci/multiple-vulnerabilities-circutor-products-0 |
EPSS评分
(此处显示漏洞的EPSS评分历史图表。EPSS是对未来30天内观察到利用活动概率的每日估计)