官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
高危漏洞概况
施耐德电气近日披露了影响其EcoStruxure IT数据中心专家软件的六个高危漏洞,攻击者可利用这些漏洞执行远程代码并获取未授权的系统访问权限。这些漏洞存在于8.3及更早版本中,对全球数据中心运营构成重大安全风险。其中最严重的漏洞编号为CVE-2025-50121,CVSS评分为满分10.0,可通过操作系统命令注入实现未认证的远程代码执行。
该关键漏洞在HTTP协议启用时(默认情况下该协议处于禁用状态),攻击者通过Web界面创建特制文件夹即可触发。其他漏洞包括密码生成熵不足(CVE-2025-50122)、通过主机名操纵实现代码注入(CVE-2025-50123)以及服务器端请求伪造攻击(CVE-2025-50125)。
漏洞发现与影响
施耐德电气分析师通过外部研究人员Jaggar Henry和Jim Becher(来自KoreLogic公司)的全面安全研究发现了这些漏洞。公司已确认这些发现的严重性,并发布了详细技术文档说明攻击向量和潜在影响。这些漏洞共同影响EcoStruxure IT数据中心专家平台,该平台是面向众多工业环境中关键基础设施设备的可扩展监控软件。
操作系统命令注入机制
主要攻击向量集中在CVE-2025-50121的操作系统命令注入漏洞上,该漏洞利用系统命令中特殊元素的不当中和处理。当Web界面上启用HTTP时,攻击者可操纵文件夹创建过程,将恶意命令直接注入底层操作系统。这种技术绕过了标准输入验证机制,无需认证即可立即获取系统级访问权限。
该漏洞在应用程序处理用户提供的文件夹名称时未进行适当清理的情况下显现,允许将shell元字符解释为系统命令。例如,包含分号、管道符号或反引号的文件夹名称可以脱离预期的命令上下文,以系统权限执行任意代码。
漏洞详情对照表
| CVE编号 | CVSS v3.1评分 | CVSS v4.0评分 | 漏洞类型 | 攻击向量 |
|---|---|---|---|---|
| CVE-2025-50121 | 10.0(严重) | 9.5(严重) | 操作系统命令注入 | 网络 |
| CVE-2025-50122 | 8.3(高危) | 8.9(高危) | 熵不足 | 相邻网络 |
| CVE-2025-50123 | 7.2(高危) | 7.2(高危) | 代码注入 | 物理 |
| CVE-2025-50125 | 7.2(高危) | 6.3(中危) | 服务器端请求伪造 | 网络 |
| CVE-2025-50124 | 6.9(中危) | 7.2(高危) | 权限管理 | 物理 |
| CVE-2025-6438 | 6.8(中危) | 5.9(中危) | XML外部实体 | 网络 |
修复建议
企业必须立即升级至EcoStruxure IT数据中心专家软件9.0版本,该版本修复了所有已识别的漏洞。作为临时缓解措施,管理员应禁用HTTP访问,并按照施耐德电气网络安全最佳实践手册实施网络分段控制。
参考来源:
Multiple Schneider Electric Vulnerabilities Let Attackers Inject OS Commands
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)