Gallagher Command Centre 服务器密钥导出漏洞分析

本文详细分析了CVE-2025-48428漏洞,该漏洞涉及Gallagher Morpho Command Centre服务器敏感信息明文存储问题,允许认证用户导出正在使用的签名密钥,可能导致部署受损或伪造设备。

概述

CVE-2025-48428是Gallagher Morpho Command Centre服务器中的一个安全漏洞,涉及敏感信息的明文存储问题。

漏洞描述

敏感信息明文存储漏洞(CWE-312)存在于Gallagher Morpho集成中,可能允许具有Command Centre服务器访问权限的认证用户导出特定签名密钥,从而能够在相关站点部署受损或伪造设备。

该漏洞影响以下版本的Command Centre服务器:

  • 9.20版本:vEL9.20.2819(MR4)之前的所有版本
  • 9.10版本:vEL9.10.3672(MR7)之前的所有版本
  • 9.00版本:vEL9.00.3831(MR8)之前的所有版本
  • 8.90及之前的所有版本

漏洞评分

CVSS 3.1评分:6.7(中危)

解决方案

更新Gallagher Command Centre服务器至修复版本以保护签名密钥安全:

  • 更新Command Centre服务器至vEL9.20.2819(MR4)或更高版本
  • 更新Command Centre服务器至vEL9.10.3672(MR7)或更高版本
  • 更新Command Centre服务器至vEL9.00.3831(MR8)或更高版本
  • 升级8.90及之前的所有版本

相关参考

  • 安全公告:https://security.gallagher.com/en-NZ/Security-Advisories/CVE-2025-48428

弱点分类

CWE-312:敏感信息明文存储

攻击模式分类

CAPEC-37:检索嵌入式敏感数据

漏洞时间线

  • 发布日期:2025年10月23日
  • 最后修改:2025年10月23日
  • 远程利用:否
  • 漏洞来源:disclosures@gallagher.com
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次