官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
罗克韦尔自动化公司(Rockwell Automation)针对其Stratix工业以太网交换机发布安全公告,披露编号为CVE-2025-7350的高危漏洞。该漏洞CVSS评分为9.6分,攻击者可利用跨站请求伪造(CSRF)缺陷实现未认证远程代码执行(RCE)。
漏洞影响范围
罗克韦尔官方声明指出:"该安全问题同时影响多款思科设备,并直接波及Stratix 5410、5700和8000系列设备。攻击者无需认证即可通过上传并运行恶意配置实现远程代码执行。"
漏洞存在于Stratix IOS软件15.2(8)E5及以下版本中。由于请求处理机制存在缺陷,攻击者可利用CSRF漏洞替换设备配置,植入可获取完全控制权的恶意代码。
受影响产品系列包括:
- 1783-BMS*系列
- 1783-ZMS*系列
- 1783-IMS*系列
- 1783-HMS*系列
- 1783-MS06T
- 1783-MS10T
所有运行Stratix IOS 15.2(8)E5或更早版本的设备均存在风险。
修复方案
罗克韦尔已发布Stratix IOS 15.2(8)E6版本修复该漏洞,强烈建议用户立即升级。
对于无法立即升级的用户,建议采取以下防护措施:
- 限制设备网络暴露面
- 配置访问控制列表(ACL)
- 确保仅可信用户和系统可访问管理接口
参考来源:
CVE-2025-7350: Critical RCE Flaw in Rockwell Stratix Switches Scores CVSS 9.6
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)