CERT 协调中心(CERT/CC)发布漏洞通告,称 Workhorse Software Services 的市政财务管理平台存在严重安全缺陷。1.9.4.48019 之前的版本由于设计层面的问题,可能导致市政单位的敏感财务数据和个人信息被未授权访问或被恶意导出。
通告称:“Workhorse Software Services 的市政财务软件在 1.9.4.48019 版本之前包含设计缺陷,可能允许未授权访问敏感数据,并导致数据外泄。”
此次确认了两个核心漏洞:
1. 明文存储数据库连接字符串(CVE-2025-9037)
该软件将 SQL Server 的连接凭据明文存放在配置文件中。通告说明:“软件把 SQL Server 连接字符串以明文形式存储在可执行文件旁的配置文件中……任何拥有该目录读取权限的人都可以获取这些凭据。”
2. 未认证的数据库备份功能(CVE-2025-9040)
应用程序设计缺陷允许即使未登录的用户也可以创建并下载未加密的数据库备份。CERT/CC 指出:“应用程序在登录界面即可访问的 ‘File’ 菜单提供数据库备份功能,它会执行 SQL Server Express 的备份操作,并允许用户将生成的 .bak 文件保存成未加密的 ZIP 压缩包。”
这些问题可能会被具备以下条件的攻击者利用:
· 拥有物理访问权限;
· 能读取网络共享文件的恶意软件;
· 社会工程手法骗取系统入口权限。
安全影响
CERT/CC 警告说:“攻击者可能获取完整数据库,其中可能包含社会保险号(SSN)、完整市政财务记录和其他机密个人信息。”
除了数据泄露,还可能导致:
· 财务记录被恶意篡改;
· 审计数据失真;
· 市政财政系统信任度受损。
官方建议
CERT/CC 强烈建议立即升级至 1.9.4.48019 版本。
若短期无法升级,可采取以下缓解措施:
· 使用 NTFS 权限限制对软件目录的访问;
· 启用 SQL Server 加密和 Windows 身份验证;
· 在可行情况下禁用数据库备份功能;
· 配置网络分段与防火墙规则,减少暴露面。
发表评论
您还未登录,请先登录。
登录