关键漏洞信息 漏洞概述 公告编号: SSA-047424 标题: Code Execution and SQL Injection Vulnerabilities in OZW Web Servers 发布日期: 2025-05-13 CVSS v3.1 基础评分: 10.0 CVSS v4.0 基础评分: 10.0 影响的产品和版本 OZW672: 版本低于V8.0 OZW772: 版本低于V6.0 漏洞描述 1. CVE-2025-26389 - 描述: 网络服务在受影响的设备中未对 端点所需的输入参数进行清理,允许未经身份验证的远程攻击者以root权限执行任意代码。 - CVSS v3.1 基础评分: 10.0 - CVSS v4.0 基础评分: 10.0 - CWE: CWE-78: 在OS命令中使用特殊元素时的不当中和(OS命令注入) 2. CVE-2025-26390 - 描述: 受影响设备的网络服务在检查认证数据时易受SQL注入攻击,允许未经身份验证的远程攻击者绕过检查并以管理员用户身份进行认证。 - CVSS v3.1 基础评分: 9.8 - CVSS v4.0 基础评分: 9.8 - CWE: CWE-89: 在SQL命令中使用特殊元素时的不当中和(SQL注入) 解决方案和缓解措施 Siemens已发布受影响产品的最新版本,建议更新至最新版本。 具体的缓解措施或变通方法可以在“受影响产品和解决方案”部分找到。 安全建议 强烈建议采取适当的机制保护受影响产品的网络访问。 遵循推荐的安全实践,在受保护的IT环境中运行设备。