美国网络安全与基础设施安全局(CISA)发布警告称,台达电子的DIALink工业控制系统软件中存在两个严重的路径遍历漏洞。
这些漏洞的CVSS v4基础评分最高为10.0,攻击者可通过低复杂度的远程攻击利用这些漏洞绕过身份验证,非法访问关键制造环境。
台达电子路径遍历漏洞
台达电子DIALink版本V1.6.0.0及更早版本存在路径名到受限目录的不当限制(“路径遍历”)漏洞,其追踪编号为CVE-2025-58320。
该漏洞允许攻击者精心构造经过特殊编码的API或HTTP请求,以遍历到预期的应用程序目录之外,并访问敏感文件。
其CVSS v3.1基础评分为7.3(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L),CVSS v4基础评分为6.9(AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N),成功利用该漏洞可使未认证的攻击者读取或修改配置文件(如凭证存储或控制逻辑脚本),且不会触发登录提示。
虽然仅通过此CVE无法直接实现代码执行,但未经授权访问敏感文件可能会为后续攻击或数据泄露提供便利。
CVE-2025-58321是同一DIALink产品版本中一个更严重的路径遍历问题。与CVE-2025-58320不同,该漏洞允许对任意文件系统位置进行读写访问。
该漏洞的CVSS v3.1基础评分:10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H),CVSS v4基础评分:10.0(AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)。
攻击者可以完全绕过身份验证,上传恶意文件或脚本,并可能以DIALink服务的权限执行代码。
这种对文件创建、删除和执行的完全控制,极大地增加了工业环境中出现中断、勒索软件部署或持久性后门的风险。
这些漏洞是由一位与趋势科技零日计划合作的匿名研究人员私下报告的。
| 常见漏洞和暴露 | 标题 | CVSS v3.1评分 | 严重程度 |
| CVE-2025-58320 | 对路径名到受限目录的不当限制(路径遍历),允许完全绕过身份验证并执行代码 | 高 | |
| CVE-2025-58321 | 对受限目录的路径名限制不当(路径遍历),允许完全绕过身份验证并执行代码 | 严重 |
缓解
这两个CVE漏洞均可远程利用,攻击复杂度较低,对全球关键制造业务构成严重风险。
台达电子敦促立即升级至DIALink v1.8.0.0或更高版本,该版本可通过台达下载中心获取。各组织还应:
- 将操作技术网络隔离在防火墙后,避免控制系统直接暴露在互联网中。
- 所有远程连接都应使用虚拟专用网络(VPN)或安全网关。
- 严格执行业务网络与运营技术网络的分离。
- 审计文件系统权限并限制目录访问控制。
美国网络安全与基础设施安全局(CISA)建议在部署补丁前进行全面的影响分析和风险评估,并鼓励报告任何可疑活动,以支持集体威胁情报工作。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
