主要漏洞关键信息 漏洞概述 名称: Predictable debug-interface password in variTRON series 识别号: VDE-2025-086 CVE编号: CVE-2025-41731 漏洞详细描述 风险等级: 高 问题描述: variTRON系列中调试接口的密码生成算法存在可预测性漏洞。PRNG生成的密码可通过当前的时间戳进行初始化,从而导致密码可预测。 影响: 攻击者可能通过已知的密码根访问UART和SSH接口,获取系统权限。 影响产品 产品型号: - variTRON300 - variTRON500 - variTRON500 touch 受影响版本: Firmware < 9.0.2.5 修复版本: - variTRON300: Firmware 9.0.2.5+ - variTRON500, variTRON500 touch: Firmware 9.0.2.5+ 漏洞缓解措施 修复建议: 将受影涉及的产品更新到版本9.0.2.5或以上。 缓解措施: 关闭调试接口,防止未经授权的根访问UART和SSH接口。 其他信息 发布时间: 2025-11-10 联系方式: JUMO GmbH & Co. KG, psi@jumo.net 参考资料: - Jumo PSIRT - CERT@VDE Security Advisories for Jumo