从这个网页截图中可以获取到关于漏洞的关键信息如下: 漏洞概述 - CVSS v4 评分: 8.3 - 注意: 攻击复杂度低 - 厂商: AVEVA - 设备: Edge - 漏洞: 使用破损或危险的加密算法(CWE-327) 风险评估 - 成功利用该漏洞可以允许本地攻击者通过暴力破解反向工程密码 技术细节 - 受影响的产品: AVEVA Edge(包括2023 R2及之前版本) - 漏洞概览: 使用破损或危险的加密算法(CVE-2025-9317) - CVSS v3.1 评分: 8.4 - CVE v4 评分: 8.3 - 影响的领域: 关键制造部门 - 部署的国家/地区: 全球 - 公司总部位置: 英国 研究人员: Joao Varelas 报告了此漏洞给CISA 缓解措施 -组织应评估此漏洞对其运行环境、架构和产品实现的影响 -使用受影响的产品版本的用户应采取以下措施来降低利用风险: - 应用AVEVA Edge 2023 R2 P01安全更新并迁移旧项目文件 - 对于无法迁移的项目,评估潜在的密码泄漏风险并实施更严格的读取访问控制以保护这些不安全的文件 - 要求AVEVA Edge用户更改密码 -重要的事情是:从较早版本到2023 R2 P01的边缘项目迁移是单向的,这是由于密码哈希算法的变化 - 新方法应应用于所有用户的文件夹中保存和加载的项目文件 - 在项目文件创建、修改、分发和使用中保持信任链保存 - 在项目级别使用强大的主密码应用数据保护 - 有关AONE支持产品如何实现产品,请参阅:AVEVA客户支持 社会组织: 保护控制系统设备/系统不通过网络访问,将控制设备和远程设备置于防火墙之后,远程访问首选更安全的虚拟私人网络等 最后更新 - 2025年11月13日: AVEVA-2025-006的初始发布 此截图来自CISA的ICS漏洞栏目,包含大量关于受威胁设备和影响安全级别的信息,且提出详细的缓解措施,具体内容可访问 CISA官网 查看。