漏洞关键信息 执行摘要 CVSS v4: 10.0 注意: 可远程利用/低攻击复杂度 厂商: Radiometrics 设备: VizAir 漏洞: 缺失关键功能的认证、未充分保护的凭据 风险评估 成功的漏洞利用可能导致以下后果: 操纵重要天气参数和跑道设置 误导空中交通管制和飞行员 提取敏感气象数据 机场运作严重中断,导致危险的飞行条件 技术细节 受影响产品 VizAir: 2025年8月前的版本 漏洞概览 3.2.1 缺失关键功能的认证 CWE-306 任何远程攻击者可通过未认证访问VizAir系统的管理面板实现漏洞利用。 攻击者可修改临界天气参数,如风切变警报、逆温深度和CAPE值,导致危害性飞行条件和跑道冲突。 3.2.2 未充分保护的凭据 CWE-522 攻击者可通过公开可访问的配置文件暴露系统REST API密钥,从而遥控行动。 攻击者可能引发系统泛滥假警报,造成服务拒绝条件。 3.2.3 缺失关键功能的认证 CWE-306 攻击者可篡改未认证的系统配置,对航空和气象数据造成误导。 背景信息 关键基础设施部门: 运输系统 部署国家/地区: 全球 公司总部地点: 美国 研究员 Souvik Kandar向CISA报告了这些漏洞。 缓解措施 Radiometrics为所有受影响系统进行了更新并解决漏洞。 CISA建议用户采取防御措施,例如最小化控制系统的网络暴露、使用如VPN的安全远程访问方法等。 更新历史 2025年11月4日:初始发布 附加信息 该产品受通知政策和隐私与使用条款约束。