霍尼韦尔 (Honeywell) 发布紧急安全通知 (SN 2025-05-01-01),披露其 MB-Secure 和 MB-Secure PRO 报警控制面板中存在一个严重漏洞。这些控制面板用于企业和工业环境中的物理安全基础设施。该漏洞编号为 CVE-2025-2605,允许访问权限有限的攻击者以提升的权限执行未经授权的操作系统命令,从而构成严重的系统入侵风险。
公告指出:“此漏洞可能允许攻击者执行操作系统命令,从而导致 CAPEC-122:特权滥用” ,并将该问题评定为“严重”,CVSS 评分为 9.9。
该缺陷影响:
- MB-Secure 版本从 V11.04 到 V12.52
- MB-Secure PRO 版本从 V01.06 到 V03.08
霍尼韦尔证实:“ MB-Secure 和 MB-Secure PRO 警报控制面板被发现在 MB-Secure V12.53 之前版本和 MB-Secure PRO V03.09 之前版本中存在操作系统命令注入问题。”
易受攻击的组件暴露了一个入口点,恶意系统命令可以在没有适当授权检查的情况下被注入和执行,从而有效地实现权限提升和警报系统的远程操纵。
霍尼韦尔已发布修补版本来修复该漏洞:
- MB-Secure:升级至版本 V12.53
- MB-Secure PRO:升级至版本 V03.09
该公告指出,由于所涉及系统的关键性,这些更新仅针对具有管理资格的合格人员。
发表评论
您还未登录,请先登录。
登录