漏洞概述 漏洞编号:CVE-2025-4527 和 CVE-2025-4528 描述:这些漏洞存在于 Digito Tecnologia S.A. 的 NGC Explorer 软件中。 影响:可能导致信息泄露和未授权访问。 影响范围 受影响产品:NGC Explorer 版本等于或低于 3.48.21。 不受影响产品:UNA 和 GUARDIÃO 产品。 修复方案 1. 立即更新软件: - 将 NGC Explorer 更新到版本 3.48.22 或更高,该版本仅在 Digito Tecnologia S.A. 的官方网站上提供。 - 在应用任何更新之前,验证文件的完整性并与 Digito 的官方代表联系。 2. 限制访问和网络隔离: - 阻止所有外部/远程访问 Digito 设备的管理接口(包括 NGC Explorer、UNA 和 Guardião,即使未受影响)。 - 管理接口不应暴露在互联网或未隔离的网络上。 - 配置、维护或审计应优先通过物理/直接访问设备(本地控制台)进行,必要时使用具有严格访问控制的 VPN。 3. 监控网络和防火墙规则: - 监控异常通信,特别是与 Digito 设备相关的通信。 - 实施防火墙规则,阻止远程管理协议(SSH、RDP、HTTP/HTTPS 管理接口等)从外部网络访问 Guardião、UNA 或 NGC Explorer 系统。 4. 额外建议: - 限制管理接口的暴露。 - 网络隔离(将管理网络与用户和互联网网络分开)。 - 持续监控日志和访问尝试。 - 与制造商一起验证更新的完整性。 5. 事件沟通: - 如果发现任何异常通信、未经授权的访问尝试或凭证泄露,应立即通过电子邮件 ctir@ctir.gov.br 向 CTIR Gov 报告。 其他信息 发布日期:2025年12月9日 更新日期:2025年12月19日 发布机构:CTIR Gov - 国家网络事件预防、处理和响应中心 代码块 页面中未包含 POC 代码或利用代码。