关键漏洞信息 漏洞ID VDE-2025-048 发布与更新时间 发布时间: 2025-09-08 09:00 (CEST) 最后更新时间: 2025-09-05 12:41 (CEST) 厂商 WAGO GmbH & Co. KG 受影响产品及版本 漏洞概述 文件系统管理中的设计缺陷在固件挂载内部系统分区时短暂暴露这些分区,这些分区包含敏感数据如固件和证书。尽管文件系统访问由支持权限控制的Nucleus层中介,但这些权限目前未强制执行。因此,FTP/SFTP等服务可能无意中获得对关键内部资源的访问,增加未经授权访问或数据泄露的风险。 CVE ID CVE-2025-41664 严重性 CVSS评分: 7.5 [CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H] 弱点 关键资源的权限分配不正确 (CWE-732) 影响 由于内部分区的可见性,低权限远程攻击者可以提升权限并编辑固件文件。 解决方案 默认情况下,FTP在这些设备上是禁用的。为防止此漏洞被利用,建议在固件版本低于13的情况下通过设备配置设置禁用SFTP。 修复措施 更新到固件版本13。