关键漏洞信息 漏洞ID VDE-2025-026 发布日期 2025-05-12 10:00 (CEST) 最后更新 2025-05-12 10:00 (CEST) 厂商 AUMA Riester GmbH & Co. KG 受影响产品及版本 漏洞描述 在AUMA执行器的控制中,发送过多数据到服务电报会导致缓冲区溢出。根据执行器的不同,服务电报通过蓝牙或RS232接口传输。 CVE ID CVE-2025-3496 最后更新时间 2025年5月9日,下午1:31 严重性 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 弱点类型 缓冲区复制时未检查输入大小(经典缓冲区溢出)(CWE-120) 影响 缓冲区溢出可能导致意外行为,例如重启执行器控制。 解决方案 如果蓝牙接口或可选的RS-232接口在正常操作中不需要,则建议仅在需要时激活或使用它,例如在配置执行器或读取诊断数据时。在正常操作条件下应将其停用。 修复措施 对于带有蓝牙的执行器,建议将执行器控制的固件更新到新版本以避免缓冲区溢出。 对于没有蓝牙的执行器,建议限制对执行器的物理访问,并在可能的情况下更新固件。 报告者 CERT@VDE与AUMA Riester协调 报告人:Dennis Schaefer来自ONEKEY GmbH