关键漏洞信息 漏洞概述 ID: VDE-2025-068 发布日期: 2025-09-02 10:00 (CEST) 最后更新: 2025-09-01 09:58 (CEST) 厂商: Endress+Hauser AG 受影响产品及版本: - Promag 10 with HART: < 01.00.06 - Promag 10 with IO-Link: < 01.00.02 - Promag 10 with Modbus: < 01.00.06 - Promass 10 with HART: < 01.00.06 - Promass 10 with IO-Link: < 01.00.02 - Promass 10 with Modbus: < 01.00.06 漏洞详情 CVE ID: CVE-2025-41600 严重性: 7.4 (CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H) 弱点类型: 插入敏感信息到日志文件 (CWE-532) 摘要: 在Endress+Hauser的Proline 10设备中发现了一个权限提升漏洞。此漏洞允许具有操作员级别访问权限的认证用户提升其权限并获得维护级别访问,可能启用未经授权的配置更改。 影响: 成功利用此漏洞可能允许攻击者执行垂直权限提升,获得对维护级别功能的未经授权访问。攻击者可以: - 修改所有维护参数 - 更改设备设置 - 触发设备重置,可能导致运营停机 - 将设备恢复到出厂默认设置 - 重新配置非关键诊断参数 - 禁用蓝牙通信 - 改变4-20 mA模拟输出范围 解决方案与缓解措施 缓解措施: 如果立即固件更新不可行,建议在不使用时禁用设备的蓝牙通信。这显著减少了未经授权访问的风险,通过消除漏洞可被利用的关键向量。 修复措施: Endress+Hauser已发布更新的固件版本以解决此漏洞。客户应尽快将设备更新到最新固件版本。有关更新过程的帮助,请联系当地Endress+Hauser服务中心。 报告者 CERT@VDE协调与Endress+Hauser