关键漏洞信息 漏洞ID VDE-2025-045 发布日期 2025-07-01 10:00 (CEST) 最后更新 2025-06-27 10:42 (CEST) 厂商 Pilz GmbH & Co. KG 受影响产品及版本 产品名称: IndustrialPI 4 with Firmware Bullseye 受影响版本: <= 2024-08 漏洞概述 CVE ID: CVE-2025-41656 严重性: 10 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) 弱点类型: 缺失对关键功能的认证 (CWE-306) 摘要: 由于Node-RED服务器默认未配置认证,未经身份验证的远程攻击者可以以高权限在受影响设备上运行任意命令。 影响 攻击者不仅可以查看,还可以创建和修改Node-RED中的流程。这些流程包含代码块,其中命令在IndustrialPI本身上执行。攻击者可以利用这些代码块以特权用户身份在IndustrialPI上运行任何命令。 解决方案与缓解措施 缓解措施: 使用防火墙或类似措施限制对IndustrialPI的网络访问。 修复措施: 查阅PDF文档中的修复建议,可在以下链接找到:https://www.pilz.com/search?currentPage=1&SEARCH=Security%20Advis.%20IndustrialPI%20Remediat.. 为了激活如PDF中所述的认证,您需要通过Web应用程序启用Node-RED服务。 报告者 CERT@VDE协调与Pilz