关键信息 漏洞概述 漏洞名称: Arena® Simulation Out-Of-Bounds Write Remote Code Execution Vulnerability 严重性: 高 CVE ID: CVE-2025-8377, CVE-2025-8378 公告ID: SN7975 发布日期: 2025年7月9日 最后更新: 2025年7月9日 修订版本: 1.0 已知被利用的漏洞(KEV): 否 已修复: 是 变通方法: 否 影响的产品和解决方案 漏洞详情 CVE-2025-8377 影响 - 远程代码执行安全问题存在于受影响的产品中。精心制作的DOE文件可以强制Arena Simulation写入分配对象边界之外的内容。利用此漏洞需要用户交互,例如在软件内打开恶意文件。如果被利用,威胁行为者可以在目标系统上以管理员身份执行任意代码,从而造成更严重的后果。 - CVSS评分: 7.8 (ZDI), 7.0 (Rockwell) CVE-2025-8378 影响 - 远程代码执行安全问题存在于受影响的产品中。控制的UOF文件可以包含Arena Simulation写入分配对象边界之外的内容。利用此漏洞需要用户交互,例如在软件内打开恶意文件。如果被利用,威胁行为者可以在目标系统上以管理员身份执行任意代码,从而造成更严重的后果。 - CVSS评分: 7.8 (ZDI), 7.0 (Rockwell) 缓解措施和变通方法 用户应尽可能升级到已修复的版本。如果使用受影响软件的用户无法升级版本,则应应用安全最佳实践。 客户可以使用特定于站点的漏洞分类来生成更多环境特定的优先级。