鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Trimble Cityworks反序列化误差(CVE-2025-0994)

宣布时间 2025-02-11

一、误差概述

误差名称	Trimble Cityworks反序列化误差
CVE ID	CVE-2025-0994
误差类型	反序列化	发明时间	2025-02-11
误差评分	8.6	误差品级	高危
攻击向量	网络	所需权限	高
使用难度	低	用户交互	无
PoC/EXP	未果真	在野使用	未发明

Trimble Cityworks是一款基于地理信息系统（GIS）的资产治理平台，，，，，专为公共设施治理、都会妄想和基础设施维护设计。。。。。。。它提供周全的解决计划，，，，，资助政府和企业有用治理资产、维护设施、优化事情流程，，，，，并提升运营效率。。。。。。。通过与GIS手艺的集成，，，，，Cityworks能够实现准确的空间数据治理，，，，，支持智能决媾和资源分派。。。。。。。

2025年2月11日，，，，，鉴黑担保网集团VSRC监测到Trimble宣布的Cityworks安排相关清静通告。。。。。。。通告显示，，，，，Cityworks 15.8.9之前的版本及Cityworks with Office Companion 23.10之前的版本保存高危反序列化误差（CVE-2025-0994）。。。。。。。该误差允许经由身份验证的攻击者在客户的Microsoft Internet Information Services（IIS）效劳器上执行远程代码（RCE），，，，，可能导致系统被控制并危及数据清静。。。。。。。

二、影响规模

Cityworks < 15.8.9

Cityworks with Office Companion < 23.10

三、清静步伐

3.1 升级版本

升级至Cityworks 15.8.9或更新版本

升级至Cityworks with Office Companion 23.10或更新版本

下载链接：

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0?

3.2 暂时步伐

? 检查IIS效劳器权限，，，，，阻止使用外地或域级治理员权限。。。。。。。

? 优化附件目录设置，，，，，仅允许存储附件文件。。。。。。。

3.3 通用建议

? 按期更新系统补丁，，，，，镌汰系统误差，，，，，提升效劳器的清静性。。。。。。。

? 增强系统和网络的会见控制，，，，，修改防火墙战略，，，，，关闭非须要的应用端口或效劳，，，，，镌汰将危险效劳（如SSH、RDP等）袒露到公网，，，，，镌汰攻击面。。。。。。。

? 使用企业级清静产品，，，，，提升企业的网络清静性能。。。。。。。

? 增强系统用户和权限治理，，，，，启用多因素认证机制和最小权限原则，，，，，用户和软件权限应坚持在最低限度。。。。。。。

? 启用强密码战略并设置为按期修改。。。。。。。

3.4 参考链接

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04

https://nvd.nist.gov/vuln/detail/CVE-2025-0994

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-05-docx/0?

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】