新加坡网络安全局(CSA)已就研华(Advantech)IoT 产品线中一个极具破坏性的漏洞发布高优先级警报。该漏洞编号为 CVE-2025-52694,CVSS 评分高达 10.0(满分),表明其属于需要管理员立即处理的严重威胁

该漏洞为 SQL 注入漏洞。根据安全公告,成功利用后可使 “未授权远程攻击者执行任意 SQL 命令”。

这意味着,如果受影响的服务暴露在互联网上,攻击者无需用户名或密码即可发起攻击。他们只需向数据库发送恶意命令,就可能窃取敏感数据、修改系统配置,甚至完全控制整个相连的 IoT 基础设施。

该漏洞由 HCMUTE 信息安全俱乐部的 Loi Nguyen Thang 先生发现,并与研华及新加坡网络安全局合作进行了协调披露。
漏洞影响研华 IoT 生态系统的多个组件,尤其是较旧版本的管理和边缘软件。受影响的产品包括:
  • IoTSuite SaaSComposer:3.4.15 之前的版本
  • IoTSuite Growth Linux docker:V2.0.2 之前的版本
  • IoTSuite Starter Linux docker:V2.0.2 之前的版本
  • IoT Edge Linux docker:V2.0.2 之前的版本
  • IoT Edge Windows:V2.0.2 之前的版本
官方建议用户和管理员立即更新到最新版本以关闭此安全缺口。不同产品的更新方式如下:

・手动申请:

IoTSuite SaaSComposer、IoTSuite Growth Linux docker 和 IoT Edge Windows 的用户必须直接联系研华技术支持,以获取官方修复版本。

・直接下载:

IoTSuite Starter Linux docker 和 IoT Edge Linux docker 的更新可通过研华官方渠道直接下载。

标签: SQL注入, 物联网安全, 高危漏洞, CVE-2025-52694, 研华IoT

添加新评论