EcoStruxure IT Data Center Expert <= 8.3 多個弱點 (SEVD-2025-189-01)
critical Nessus Plugin ID 242985
語言:
概要
遠端 Web 伺服器包含受到多個弱點影響的應用程式。說明
遠端主機上安裝的 EcoStruxure IT Data Center Expert 為 9.0 之前的版本。因此,會受到 apsb25-36 公告中所提及的多個弱點影響。- 存在 CWE-78:未正確處理作業系統命令中使用的特殊元素 (「作業系統命令插入」) 弱點,可能會導致在啟用 Web 介面的 HTTP 功能時,攻擊者可透過建立惡意資料夾,在未經驗證的情況下遠端執行程式碼。HTTP 預設為停用。(CVE-2025-50121)
- 存在 CWE-331:熵不足弱點,若攻擊者取得安裝或升級相關檔案的存取權,並透過逆向工程推測出產生密碼的演算法,可能會導致 root 密碼遭到破解。(CVE-2025-50122)
- 存在 CWE-94:不當控制程式碼產生 (「程式碼插入」) 弱點,可能會導致在使用特權帳戶透過主控台存取伺服器時,攻擊者惡意利用主機名稱輸入弱點遠端執行命令。(CVE-2025-50123)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 EcoStruxure IT Data Center Expert 9.0 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 242985
檔案名稱: schneider_ecostruxure_IDCE_SEVD-2025-189-01.nasl
版本: 1.1
類型: remote
系列: CGI abuses
已發布: 2025/7/29
已更新: 2025/7/29
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.3
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2025-50121
CVSS v3
風險因素: Critical
基本分數: 10
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
弱點資訊
CPE: cpe:/a:schneider-electric:data_center_expert
必要的 KB 項目: installed_sw/Data Center Expert
修補程式發佈日期: 2025/7/8
弱點發布日期: 2025/7/8
參考資訊
CVE: CVE-2025-50121, CVE-2025-50122, CVE-2025-50123, CVE-2025-50124, CVE-2025-50125, CVE-2025-6438
IAVB: 2025-B-0111