网络安全和基础设施安全局 (CISA) 发布了一份安全公告,警告用户注意在广泛使用的网络管理平台 MICROSENS NMP Web+ 中发现的多个高影响漏洞。该公告基于 Claroty Team82 的研究并与德国 BSI CERT-Bund 协调,揭示了三个严重缺陷,这些缺陷可能允许未经身份验证的攻击者绕过身份验证、覆盖系统文件或执行任意代码。
已为影响 NMP Web+ 版本 3.2.5 及更早版本的问题分配了三个 CVE:
- CVE-2025-49151 – 硬编码的 JWT 密钥(CVSS 9.1 严重):“受影响的产品可能允许未经身份验证的攻击者生成伪造的 JSON Web 令牌 (JWT) 以绕过身份验证,”公告显示。这个关键漏洞源于在身份验证机制中使用硬编码的、与安全相关的常量,允许攻击者伪造 JWT 并在没有有效凭据的情况下访问系统。
- CVE-2025-49152 – 持久会话令牌 (CVSS 7.5 High):“受影响的产品包含不会过期的 JSON Web 令牌 (JWT),这可能允许攻击者访问系统,”公告警告说。一旦颁发,令牌将无限期保持有效,如果攻击者设法拦截或生成有效令牌,则可以为其提供持久访问权限。
- CVE-2025-49153 – 路径遍历到任意代码执行(CVSS 9.8 严重):“受影响的产品可能允许未经身份验证的攻击者覆盖文件并执行任意代码,”公告指出。这是三个漏洞中最严重的一个,可能允许在没有任何身份验证的情况下远程执行代码,从而提供对系统的完全控制。
这些漏洞会影响:
- NMP Web+ 版本 3.2.5 及更早版本,适用于 Windows 和 Linux 平台。
供应商 MICROSENS 发布了 NMP Web+ 版本 3.3.0,解决了所有三个问题。CISA 建议用户立即升级。
发表评论
您还未登录,请先登录。
登录