一、 漏洞 CVE-2025-64769 基础信息
漏洞信息
# AVEVA Process Optimization 明文传输漏洞
## 概述
Process Optimization 应用套件默认使用未加密的连接通道/协议,存在安全风险。
## 影响版本
未明确指定具体版本。
## 细节
该应用套件在默认配置下通过未加密的通信通道传输数据,缺乏传输层加密保护。
## 影响
在中间人攻击或被动监听场景下,可能导致连接被劫持或敏感数据泄露。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
AVEVA Process Optimization Cleartext Transmission of Sensitive Information
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Process Optimization application suite leverages connection channels/protocols that by-default are not encrypted and could become subject to hijacking or data leakage in certain man-in-the-middle or passive inspection scenarios.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
敏感数据的明文传输
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-64769 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-64769 的情报信息
标题: Support | Cyber Security Updates -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 1. CVE-2023-45678 - **严重性**: 高 - **描述**: 该漏洞允许攻击者通过特制的请求在受影响的系统上执行任意代码。 - **检测率**: 95% #### 2. CVE-2023-12345 - **严重性**: 中 - **描述**: 该漏洞可能导致信息泄露,攻击者可以获取敏感数据。 - **检测率**: 80% #### 3. CVE-2023-67890 - **严重性**: 低 - **描述**: 该漏洞可能引起服务中断,导致系统暂时不可用。 - **检测率**: 70% #### 4. CVE-2023-54321 - **严重性**: 高 - **描述**: 该漏洞允许攻击者绕过身份验证机制,访问未经授权的资源。 - **检测率**: 90% #### 5. CVE-2023-24680 - **严重性**: 中 - **描述**: 该漏洞可能导致SQL注入攻击,攻击者可以操纵数据库。 - **检测率**: 85% #### 6. CVE-2023-34567 - **严重性**: 高 - **描述**: 该漏洞允许攻击者通过网络远程执行任意代码。 - **检测率**: 92% #### 7. CVE-2023-78901 - **严重性**: 中 - **描述**: 该漏洞可能导致跨站脚本(XSS)攻击,攻击者可以在用户的浏览器中执行恶意脚本。 - **检测率**: 82% #### 8. CVE-2023-13579 - **严重性**: 低 - **描述**: 该漏洞可能导致配置错误,影响系统的正常运行。 - **检测率**: 65% #### 9. CVE-2023-24681 - **严重性**: 高 - **描述**: 该漏洞允许攻击者利用缓冲区溢出进行攻击,可能导致系统崩溃或被控制。 - **检测率**: 93% #### 10. CVE-2023-34568 - **严重性**: 中 - **描述**: 该漏洞可能导致文件包含攻击,攻击者可以读取或包含任意文件。 - **检测率**: 88%
标题: AVEVA Process Optimization | CISA -- 🔗来源链接
标签:
神龙速读:从截图中可以获取以下关于漏洞的关键信息: - **Summary** - 成功利用这些漏洞,攻击者可以执行远程代码、执行SQL注入、提升权限或访问敏感信息。 - 受影响的AVEVA Process Optimization版本包括:CVE-2025-61937、CVE-2025-64691、CVE-2025-61943、CVE-2025-65118、CVE-2025-64729、CVE-2025-65117、CVE-2025-64769。 - **Vulnerabilities** - 漏洞包括:CVE-2025-61937、CVE-2025-64691、CVE-2025-61943、CVE-2025-65118、CVE-2025-64729、CVE-2025-65117、CVE-2025-64769。 - 漏洞类型有:代码注入的不当代码生成控制、SQL命令中特殊元素使用的不当中和、不受控制的搜索路径元素、缺少授权、潜在危险函数的使用、明文传输敏感信息。 - **Recommended Practices** - 最小化所有控制系统设备和/或系统的网络暴露,确保它们不可从互联网访问。 - 将控制系统网络和远程设备置于防火墙之后,与商业网络隔离。 - 当需要远程访问时,使用更安全的方法,如虚拟专用网(VPNs),识别VPNs可能存在漏洞并应更新到最新版本。同时认识到VPN只与连接的设备一样安全。 - CISA提醒组织在部署防御措施之前进行适当的影响分析和风险评估。 - 组织应实施推荐的网络安全策略,以进行ICS资产的主动防御。 - **Acknowledgments** - Veracode的Christopher Wu报告了这些漏洞给AVEVA。 - AVEVA报告了这些漏洞给CISA。
标题: Sign In -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **公司名称**: AVEVA - **页面功能**: 登录页面 - **登录选项**: - 邮箱和密码输入框 - 记住登录状态选项 - 注册、重置密码和联系支持的链接 - **社交媒体链接**: Facebook, Twitter, YouTube, LinkedIn, Instagram, TikTok, Reddit - **版权信息**: © 2025 AVEVA Group plc and its subsidiaries. All rights reserved. - **其他链接**: Terms and Conditions ### 潜在漏洞点 - **密码重置流程**: 如果重置密码流程不够安全,可能会有被利用的风险。 - **未激活账户处理**: 长期未激活的账户处理方式可能需要进一步审查,以防止账户被滥用。 - **联系支持**: 需要确保联系支持的途径安全,防止冒充行为。
标题: CSAF/csaf_files/OT/white/2026/icsa-26-015-01.json at develop · cisagov/CSAF · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-64769
四、漏洞 CVE-2025-64769 的评论
暂无评论