VU#706118 - Workhorse Software Services, Inc. 1.9.4.48019之前版本软件存在多个漏洞

漏洞说明 VU#706118 原始发布日期：2025-08-19 | 最后修订日期：2025-08-19

概述

Workhorse Software Services, Inc市政会计软件1.9.4.48019之前版本存在设计缺陷，可能允许未经授权访问敏感数据并促进数据外泄。具体而言，数据库连接信息以明文形式存储在应用程序可执行文件旁，且该软件允许未认证用户从登录界面创建未加密的数据库备份。

问题描述

Workhorse软件设计中存在两个主要问题：

明文数据库连接字符串

CVE-2025-9037 该软件将SQL Server连接字符串存储在位于可执行文件旁的明文配置文件中。在典型部署中，此目录位于运行SQL数据库的同一服务器托管的共享网络文件夹上。如果使用SQL身份验证，任何具有目录读取权限的人都可能恢复此文件中的凭据。

未认证数据库备份功能

CVE-2025-9040 应用程序的"文件"菜单（即使从登录屏幕也可访问）提供数据库备份功能，该功能执行MS SQL Server Express备份，并允许将生成的.bak文件保存在未加密的ZIP存档中。此备份可以在不需要密码的情况下恢复到任何SQL Server实例。

具有工作站物理访问权限、能够读取网络文件的恶意软件或通过社会工程学的攻击者可以在未经身份验证的情况下外泄完整数据库备份。

影响

攻击者可能获取完整数据库，可能暴露敏感的个人身份信息（PII），如社会安全号码、完整的市政财务记录和其他机密数据。拥有数据库备份还可能启用数据篡改，可能破坏审计跟踪并损害市政财务运营的完整性。

解决方案

CERT/CC建议尽快将软件更新至1.9.4.48019版本。

其他可能的缓解措施包括：

• 通过NTFS权限限制对应用程序目录的访问
• 启用SQL Server加密和Windows身份验证
• 在供应商或配置级别禁用备份功能
• 使用网络分段和防火墙规则限制数据库访问

致谢

此问题由James Harrold（Sparrow IT Solutions）在安全审计和新服务器安装期间报告。本文档由Timur Snoke编写。

供应商信息

Workhorse Software Services, Inc

CVE-2025-9037 状态：未知 供应商声明：这适用于Workhorse软件的早期版本，其中数据库连接字符串存储在workhorse.exe.config中。截至2025年7月9日，所有连接字符串都已加密并安全存储。Workhorse是一个完全部署在客户自身IT网络内的本地桌面应用程序，SQL身份验证方法由客户的IT部门决定。默认配置使用具有最低权限SQL帐户的Windows身份验证。

CVE-2025-9040 状态：未知 供应商声明：应用程序内的备份功能一直是可选的，可以由市政IT部门禁用。在最新版本中，最终用户直接保存备份ZIP文件的功能已被移除；客户现在必须通过我们的支持团队请求备份文件。备份继续由客户的IT人员存储在SQL Server中，他们完全控制加密和访问。

其他信息

CVE ID：

• CVE-2025-9037
• CVE-2025-9040

日期信息：

• 公开日期：2025-08-19
• 首次发布日期：2025-08-19
• 最后更新日期：2025-08-19 16:44 UTC
• 文档版本：1