一、 漏洞 CVE-2025-52578 基础信息

                                        # N/A

## 概述

存在一个伪随机数生成器中种子使用不当（CWE-335）的漏洞，影响 High Sec ELM。该漏洞可能允许具备物理访问权限的复杂攻击者破坏设备内部通信。

## 影响版本

受影响的 Command Centre Server 版本：

- **9.30** 版本早于 **vCR9.30.251028a**（该补丁版本包含在 9.30.2881 (MR3) 中）
- **9.20** 版本早于 **vCR9.20.251028a**（该补丁版本包含在 9.20.3265 (MR5) 中）
- **9.10** 版本早于 **vCR9.10.251028a**（该补丁版本包含在 9.10.4135 (MR8) 中）
- **所有 9.00 及更早版本**

## 细节

漏洞源于伪随机数生成器（PRNG）的种子使用不当，这可能导致生成的随机数可预测。攻击者若具备物理访问权限，可利用此缺陷对内部通信进行破解，进而影响系统安全性。

## 影响

成功利用该漏洞可使攻击者：

- 破解 PRNG 生成的值
- 窥探或篡改内部通信
- 对设备安全性造成潜在威胁
                                        

二、漏洞 CVE-2025-52578 的公开POC

三、漏洞 CVE-2025-52578 的情报信息

• 标题： CVE-2025-52578 -- 🔗来源链接

  标签：

  神龙速读：

                                          ## 关键漏洞信息
  
  - **CVE:** CVE-2025-52578
  - **严重程度:** 中等 (CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)
  - **受影响的组件:** 高安全性末端模块 (High Sec_End_of_Line_Module)
  - **受影响的Command Centre版本:**
    - 9.30 及之前版本至 vCR9.30.251028a (发布于9.30.2881 (MR3))
    - 9.20 及之前版本至 vCR9.20.251028a (发布于9.20.3265 (MR5))
    - 9.10 及之前版本至 vCR9.10.251028a (发布于9.10.4135 (MR8))
    - 9.00及所有更早版本
  - **报告人:** Gallagher Internal (GGL Internal)
  - **漏洞是否被主动利用:** 无 (None)
  - **漏洞描述:** 在高安全性ELM中伪随机数生成器(Pseudo-Random Number Generator)的种子(seed)使用不当(CWE-335)可能使攻击者能够通过物理访问设备来破坏内部设备通信。
  - **缓解因素:** 只有使用高安全性ELM的站点会受到影响。确保按照强化指南，正确安装硬件。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-52578

四、漏洞 CVE-2025-52578 的评论