OpenEdge AdminServer 任意文件读取漏洞总结 漏洞概述 漏洞名称:OpenEdge AdminServer 任意文件读取安全更新 (CVE-2025-7389) 漏洞类型:任意文件读取 (Arbitrary File Read) 漏洞描述:拥有主机系统权限的经过身份验证的 OS 用户,可以通过 AdminServer RMI 接口绕过正常的 OS 文件权限检查,读取主机系统上的任意文件。 触发条件: 1. 攻击者拥有主机系统的 OS 权限。 2. 攻击者是经过身份验证的用户(通常指 OS 用户)。 3. 目标系统未应用补丁或启用缓解措施。 影响范围 受影响版本: OpenEdge 12.2.17 及更早版本 OpenEdge 12.8.9 及更早版本 修复版本: OpenEdge 12.8.11 OpenEdge 12.9.11 修复方案 1. 软件升级(推荐) 升级到 OpenEdge 12.8.11 或 OpenEdge 12.9.11 或更高版本。 在这些版本中,默认禁用了 RMI 方法,从而消除了漏洞。 2. 临时缓解措施(针对无法立即升级的系统) A. 网络隔离(推荐) 使用网络隔离结合受控的管理访问权限,可显著减少暴露。 Linux 防火墙规则示例: 以下规则仅允许指定 OS 用户通过回环接口 ( ) 访问 AdminServer RMI 端口,阻止其他所有用户。 重要说明: 此缓解措施仅适用于本地回环访问。 规则必须在“阻止”规则之前添加“允许”规则。 所有命令必须以 或具有 权限的用户运行。 规则不会在重启后持久化,需根据系统配置保存规则(如使用 )。 B. Windows 系统缓解 Windows 没有提供与 Linux 等效的基于用户的出站 TCP 过滤机制。 建议使用 Windows Defender 防火墙 结合 Windows Filtering Platform (WFP) 进行更精细的控制,但这需要自定义驱动程序开发,超出内置管理工具范围。 参考链接: https://learn.microsoft.com/en-us/windows/win32/fwp/basic-operation https://learn.microsoft.com/en-us/windows/win32/fwp/windows-filtering-platform-architecture-overview C. UNIX (非 Linux) 系统 (HP-UX, AIX, Solaris) 上述 Linux 缓解措施不适用于这些平台,因为它们不支持基于用户 ID 的出站流量过滤。 主机防火墙在数据包层面操作,无法区分原始 OS 用户。 建议联系 Progress 技术支持获取特定平台的建议。 其他注意事项 启用远程 RMI 访问会增加安全风险,应仅在必要时启用,并配合上述缓解措施。 对于当前维护协议的客户,可通过登录 Progress 客户门户获取升级。 对于非当前维护协议的客户,请联系 OpenEdge 客户代表。 如需进一步帮助,可提交技术支持案例。