CVE-2025-13373 - Advantech iView SQL 注入
概述
漏洞时间线
描述
Advantech iView 5.7.05.7057 及更早版本未对 SNMP v1 trap(端口 162)请求进行适当的清理,这可能允许攻击者注入 SQL 命令。
信息
发布日期:2025年12月4日 23:15 最后修改日期:2025年12月4日 23:15 可远程利用:是! 来源:ics-cert@hq.dhs.gov
受影响产品
以下产品受到 CVE-2025-13373 漏洞的影响。即使 cvefeed.io 了解受影响产品的确切版本,下表也未体现该信息。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Advantech | iview |
总计受影响厂商:1 | 产品:1
CVSS 评分
通用漏洞评分系统是用于评估软件和系统漏洞严重程度的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高 | 7d14cffa-0d7d-4270-9dc0-52cabd5a23a6 | |||
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | ics-cert@hq.dhs.gov | |
| 8.7 | CVSS 4.0 | 高 | 7d14cffa-0d7d-4270-9dc0-52cabd5a23a6 | |||
| 8.7 | CVSS 4.0 | 高 | ics-cert@hq.dhs.gov |
解决方案
更新 Advantech iView 至能够正确清理 SNMP trap 请求的版本。
- 将 Advantech iView 软件更新到最新版本。
- 应用供应商提供的 SNMP 处理补丁。
- 如果不需要,禁用 SNMP。
建议、解决方案和工具的参考链接
在这里,您将找到精心挑选的外部链接列表,这些链接提供与 CVE-2025-13373 相关的深入信息、实用解决方案和有价值的工具。
CWE - 通用缺陷枚举
CVE 标识特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-13373 与以下 CWE 相关联:
CWE-89:SQL 命令中使用的特殊元素中和不当(‘SQL 注入’)
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储攻击模式,这些模式描述了攻击者利用 CVE-2025-13373 弱点所采用的常见属性和方法。
- CAPEC-7: 盲SQL注入
- CAPEC-66: SQL注入
- CAPEC-108: 通过SQL注入执行命令行
- CAPEC-109: 对象关系映射注入
- CAPEC-110: 通过SOAP参数篡改进行SQL注入
- CAPEC-470: 从数据库扩展对操作系统的控制
我们扫描 GitHub 存储库以检测新的概念验证漏洞利用。以下列表是已发布在 GitHub 上的公共漏洞利用和概念验证的集合(按最近更新时间排序)。
由于可能存在性能问题,结果限制在前15个存储库。
以下列表是文章中提及 CVE-2025-13373 漏洞的新闻。
由于可能存在性能问题,结果限制在前20篇新闻文章。
下表列出了对 CVE-2025-13373 漏洞随时间所做的更改。
漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 新 CVE 接收方 | ics-cert@hq.dhs.gov |
|---|---|
| 日期 | 2025年12月04日 |
| 操作 | 类型 |
| :— | :— |
| 已添加 | 描述 |
| 已添加 | CVSS V4.0 |
| 已添加 | CVSS V3.1 |
| 已添加 | CWE |
| 已添加 | 参考 |
| 已添加 | 参考 |
| 已添加 | 参考 |
EPSS 是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的 EPSS 评分历史。
注入
漏洞评分详情
CVSS 4.0
CVSS 3.1
基础 CVSS 评分:8.7
攻击向量:网络 攻击复杂性:低 攻击要求:无 所需权限:无 用户交互:无 VS 机密性:高 VS 完整性:无 VS 可用性:无 SS 机密性:无 SS 完整性:无 SS 可用性:无
基础 CVSS 评分:7.5
攻击向量:网络 攻击复杂性:低 所需权限:无 用户交互:无 范围:未更改 机密性影响:高 完整性影响:无 可用性影响:无