CVE-2025-41700 - CODESYS Development System - Deserialization of Untrusted Data
概述
CVE-2025-41700是一个影响CODESYS开发系统的安全漏洞。未经身份验证的攻击者可以通过诱骗本地用户使用CODESYS开发系统打开经过精心操纵的CODESYS项目文件,从而在用户上下文中执行任意代码。
漏洞描述
当用户使用受影响的CODESYS开发系统打开恶意的项目文件时,由于系统对不可信数据进行了反序列化处理,可能导致任意代码执行。此漏洞无需身份验证,但需要用户交互(打开文件)。
漏洞时间线
- 发布日期:2025年12月1日 10:16 a.m.
- 最后修改日期:2025年12月1日 10:16 a.m.
- 远程利用:否
- 来源:info@cert.vde.com
受影响产品
目前已记录的受影响产品数量为0。总受影响供应商:0 | 产品:0
CVSS 评分
评分:7.8 (高危)
- 版本:CVSS 3.1
- 向量:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- 可利用性评分:1.8
- 影响评分:5.9
- 来源:info@cert.vde.com
解决方案
- 更新CODESYS开发系统至最新版本,以修复此任意代码执行漏洞。
- 避免打开不受信任的CODESYS项目文件。
- 教育用户关于打开不受信任文件的风险。
相关公告、解决方案和工具参考
CWE - 常见缺陷枚举
该CVE与以下CWE关联:
- CWE-502:不可信数据的反序列化
常见攻击模式枚举与分类 (CAPEC)
与利用此CVE弱点相关的攻击模式:
- CAPEC-586:对象注入
GitHub概念验证 (PoC) 利用
我们扫描GitHub仓库以检测新的概念验证利用。以下列表是已发布在GitHub上的公共利用和概念验证集合(按最近更新排序)。 (由于潜在的性能问题,结果限制在前15个仓库。)
相关新闻
以下列表是文章中提及CVE-2025-41700漏洞的新闻。 (由于潜在的性能问题,结果限制在前20篇新闻文章。)
漏洞历史记录
以下表格列出了CVE-2025-41700漏洞随时间所做的更改。漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年12月1日 | 新增 | 描述 | 未经身份验证的攻击者可以通过诱骗本地用户使用CODESYS开发系统打开经过精心操纵的CODESYS项目文件,从而在用户上下文中执行任意代码。 | |
| 2025年12月1日 | 新增 | CVSS V3.1 | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | |
| 2025年12月1日 | 新增 | CWE | CWE-502 | |
| 2025年12月1日 | 新增 | 参考链接 | https://certvde.com/de/advisories/VDE-2025-101 |
EPSS评分
EPSS(漏洞利用预测评分系统)是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史。
错误配置
(此部分内容为空)
漏洞评分详情
CVSS 3.1
- 基础CVSS评分:7.8
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高