关键信息 漏洞概述 发布日期: 2023年6月24日 厂商: Advantech 漏洞类型: 多个CVE编号的漏洞,包括CVE-2025-48461至CVE-2025-48470 影响 CVE-2025-48461: 可能导致会话劫持和账户接管。 CVE-2025-48462: 可能导致所有可用会话槽被消耗,阻止合法用户登录。 CVE-2025-48463: 可能导致数据篡改和未授权访问。 CVE-2025-48464: 可能导致远程控制继电器通道。 CVE-2025-48465: 可能导致重复重启,导致拒绝服务和系统不可用性。 CVE-2025-48466: 可能导致通过JTAG接口注入或修改固件。 CVE-2025-48467: 可能导致通过公共更新页面上传恶意固件。 CVE-2025-48468: 可能导致跨站脚本攻击,导致会话劫持、重放、凭证窃取或权限提升。 受影响产品 WISE-4010LAN WISE-4050LAN WISE-4060LAN 缓解措施 CVE-2025-48461, CVE-2025-48462, CVE-2025-48463, CVE-2025-48464, CVE-2025-48469: 启用安全模式,限制对不安全Web界面的访问并禁用不必要的服务。 CVE-2025-48466, CVE-2025-48467: 更新固件至A2.02 B00,并禁用Modbus TCP 101(如果不需要)。 CVE-2025-48468: JTAG接口在正常操作中自动禁用,建议更新固件至A2.02 B00。 致谢 发现漏洞的研究人员名单及贡献。 Advantech的合作与协调披露。