CVE-2025-47699 - Gallagher Morpho Command Centre服务器未经授权配置泄露
概述
CVE-2025-47699是一个影响Gallagher Morpho Command Centre服务器的安全漏洞,CVSS 3.1评分为9.9分,属于严重级别。
漏洞描述
敏感系统信息向未授权控制域暴露(CWE-497)的漏洞存在于Gallagher Morpho集成中,可能允许具有有限站点权限的认证操作员对本地Morpho设备进行关键更改。
此问题影响以下版本的Command Centre服务器:
- 9.30版本早于vEL9.30.2482(MR2)
- 9.20版本早于vEL9.20.2819(MR4)
- 9.10版本早于vEL9.10.3672(MR7)
- 9.00版本早于vEL9.00.3831(MR8)
- 8.90及之前的所有版本
漏洞时间线
- 发布日期:2025年10月23日 4:16
- 最后修改:2025年10月23日 4:16
- 远程利用:是
- 来源:disclosures@gallagher.com
CVSS评分详情
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.9 | CVSS 3.1 | 严重 | - | 3.1 | 6.0 | disclosures@gallagher.com |
解决方案
更新Command Centre服务器到修复版本以防止未经授权的系统信息泄露:
- 更新Command Centre服务器至vEL9.30.2482或更高版本
- 更新至vEL9.20.2819(MR4)或更高版本
- 更新至vEL9.10.3672(MR7)或更高版本
- 更新至vEL9.00.3831(MR8)或更高版本
相关参考
咨询链接:
CWE关联
CWE-497:向未授权控制域暴露敏感系统信息
CAPEC攻击模式
- CAPEC-170:Web应用指纹识别
- CAPEC-694:系统位置发现
漏洞历史记录
2025年10月23日 - 新CVE由disclosures@gallagher.com接收
变更内容:
- 添加漏洞描述
- 添加CVSS V3.1评分
- 添加CWE分类
- 添加参考链接