一个影响 Rockwell Automationl Verve Asset Manager 产品的高严重性安全漏洞（CVE-2025-1449），可能会让拥有管理员权限的攻击者执行任意命令。

该漏洞在 1.39 版本及更早版本中被发现，已被赋予了 9.1（v3.1）的通用漏洞评分系统（CVSS）基础评分，这表明其严重性达到了危急级别，且存在潜在的重大影响。

Rockwell Automationl ADI 漏洞

这个被认定为 CVE-2025-1449 的安全缺陷，源于 Verve 公司旧版无代理设备清单（ADI）功能的管理网页界面中变量净化处理不足。

自 1.36 版本起，该功能就已被弃用，但在受影响的系统中仍存在。

据 Rockwell Automationl 称：“Verve 的 Legacy Agentless Device Inventory （ADI）功能的部分管理网页界面允许用户在变量净化处理不充分的情况下对变量进行更改。”

这一漏洞使得拥有管理员权限的威胁行为者能够在运行该服务的容器环境内执行任意命令。

该漏洞被归类为 CWE-1287：对指定类型输入的验证不当，这是软件安全方面常见的薄弱环节。

以下是该漏洞的概述：

风险因素                 详情

受影响产品             Verve Asset Manager（版本 ≤ 1.39）

影响                        允许拥有管理员权限的攻击者执行任意命令。

利用前提                 对受影响系统拥有管理员访问权限。

CVSS 3.1 评分         9.1（危急）

修复措施

Rockwell Automationl 已在 Verve Asset Manager 1.40 版本中解决了这一安全问题，该版本与安全公告同时发布。

该公司敦促所有使用受影响版本的客户尽快升级到已修复漏洞的版本。

对于无法立即升级的客户，Rockwell 建议在可能的情况下应用安全最佳实践，不过他们也指出，针对此漏洞没有特定的解决方法。

该公告证实，虽然这是一个严重的漏洞，但它尚未被列入美国网络安全与基础设施安全局（CISA）的已知被利用漏洞（KEV）数据库，这表明截至公告发布日期，没有证据显示该漏洞在现实中已被主动利用。

这一漏洞凸显了工业自动化系统中持续存在的安全挑战，这些系统正日益成为复杂威胁行为者的攻击目标。

攻击者能够执行任意命令，这有可能会使他们扰乱工业流程、获取敏感信息，或者在受影响的网络中建立持久的控制权限。

使用 Rockwell Automationl Verve Asset Manager 的工业企业应立即进行风险评估，并根据自身的受影响程度以及运行存在漏洞软件的系统的关键程度，优先进行漏洞修复。

Rockwell Automationl 表示，客户可以使用 “特定利益相关者漏洞分类法”，为修复计划生成更符合自身环境特点的优先排序。

该公司的安全公告（SD1723）为受影响的客户提供了更多技术细节和指导，包括获取 CVE-2025-1449 漏洞的漏洞可利用性交换格式文档。

文章原文链接:https://www.anquanke.com/post/id/306090