电源管理巨头伊顿于圣诞夜发布高危安全预警,提醒旗下 UPS 监控软件(Eaton UPS Companion,简称 EUC)用户立即进行版本更新。公告披露了两项重大漏洞,本地攻击者可利用这些漏洞劫持软件,在主机系统上执行任意代码,甚至可能危及那些负责监控核心供电设备的计算机。
这份发布于 2025 年 12 月 24 日的安全公告,将漏洞整体风险等级评定为 **“高危”**,最高 CVSS 评分达 8.6 分。
两项漏洞中危害最严重的一项,存在于软件的安装环节。该漏洞编号为CVE-2025-59887,其原理是利用 “不安全的库文件加载机制”—— 这也是一类被称为 **“DLL 劫持”** 的常见漏洞。
公告指出:“伊顿 IPP 软件安装程序中存在的不安全库加载问题,可能导致获取软件安装包访问权限的攻击者,实现任意代码执行。”
这意味着,一旦攻击者将恶意文件放入安装程序所在的同一目录,软件就会被诱骗加载该恶意文件,而非合法的系统库文件,攻击者由此便可获得与运行安装程序的用户相同的系统权限。
第二项漏洞编号为CVE-2025-59888(CVSS 评分 6.7),属于典型的 Windows 服务漏洞,被称为 **“未加引号的搜索路径”** 漏洞。当一个服务的路径中包含空格(例如
C:\Program Files\Eaton…),且路径未被引号包裹时,Windows 系统可能会误读路径,转而尝试运行C:\Program.exe这类错误路径下的程序,而非原定的可执行文件。伊顿公司警示称:“由于 EUC 软件的搜索路径未正确添加引号,获取文件系统访问权限的攻击者可借此执行任意代码。”
此次漏洞影响范围覆盖3.0 版本之前的所有 Eaton UPS Companion 软件版本。
伊顿公司表示:“建议客户将软件更新至 3.0 版本,完成向安全版本的迁移。” 该补丁可同时修复安装程序存在的高危漏洞,以及路径配置引发的中危漏洞。
发表评论
您还未登录,请先登录。
登录