工业控制系统安全漏洞剖析：CVE-2025-13911与Ignition SCADA的权限滥用风险

Fri, 02 Jan 2026 22:18:42 +0800

CVE-2025-13911：Inductive Automation Ignition 中的 CWE-250 漏洞

严重性：中等 类型：漏洞

CVE-2025-13911 是 Inductive Automation Ignition SCADA 版本 8.1.x 和 8.3.x 中的一个中等严重性漏洞。该漏洞源于脚本环境中对 Python 库导入的限制不足，允许经过身份验证的管理员上传包含 Python 脚本的恶意项目文件。这些脚本以 Ignition Gateway 进程的权限执行，而该进程在 Windows 上通常以 SYSTEM 级别运行，可能导致完整的系统被控制。利用此漏洞需要高权限且无需用户交互，但仅限于经过身份验证的管理员。尽管目前尚未有已知的在野利用报告，但该漏洞对依赖 Ignition 的工业控制系统构成了重大风险。使用受影响版本的欧洲组织应优先考虑限制管理访问和监控项目上传。

研华WebAccess/SCADA目录遍历漏洞CVE-2025-14848技术分析

Mon, 29 Dec 2025 02:29:18 +0800

CVE-2025-14848：研华WebAccess/SCADA中的CWE-36漏洞

严重性：中等 类型：漏洞

CVE-2025-14848

研华 WebAccess/SCADA 存在绝对目录遍历漏洞，攻击者可能利用此漏洞确定任意文件的存在。

技术摘要

CVE-2025-14848 是在研华 WebAccess/SCADA 9.2.1 版本中发现的一个绝对目录遍历漏洞。该漏洞归类于 CWE-36，涉及文件路径处理不当，允许攻击者遍历预期范围之外的目录。利用此漏洞，攻击者可以在无需用户交互（UI:N）的情况下，通过网络（AV:N）远程访问系统，且仅需较低权限（PR:L）。攻击者可以探测文件系统以确定任意文件的存在，可能暴露敏感的配置或系统文件。然而，该漏洞不允许修改文件（完整性）或中断服务（可用性）。CVSS v3.1 基本评分为 4.3，属于中等严重性，反映了对机密性的影响有限，并且需要一定的权限条件。目前尚未报告公开的漏洞利用代码，也未提供相关补丁链接，表明修复措施可能仍在进行中或处于开发阶段。该漏洞影响一个广泛应用于自动化和 SCADA 环境的关键工业控制系统平台，这些环境因其在关键基础设施中的作用而经常成为攻击目标。

SCADA安全 on 办公AI智能小助手

工业控制系统安全漏洞剖析：CVE-2025-13911与Ignition SCADA的权限滥用风险

CVE-2025-13911：Inductive Automation Ignition 中的 CWE-250 漏洞

研华WebAccess/SCADA目录遍历漏洞CVE-2025-14848技术分析

CVE-2025-14848：研华WebAccess/SCADA中的CWE-36漏洞

技术摘要