漏洞概述
Rockwell Automation 披露了 CVE-2025-14376 漏洞,该漏洞存在于 Verve Asset Manager 的旧版 ADI(Asset Data Interface)服务器组件中。该组件因在环境变量中以明文形式存储敏感信息(如密钥),可能导致本地高权限用户获取敏感数据并进一步破坏系统安全。值得注意的是,该 ADI 组件自 2024 年发布的 1.36 版本起已被标记为可选,并已正式退役。
漏洞详情
- CVE 编号:CVE-2025-14376
- 漏洞类型:CWE-922(敏感信息在不安全的存储中)
- CVSS 评分:8.6(HIGH,CVSS v4.0)
- 影响版本:Verve Asset Manager 中使用旧版 ADI 服务器组件的版本(ADI 组件自 1.36 起已为可选并退役)
影响范围
该漏洞仅影响仍在使用已退役 ADI 服务器组件的 Verve Asset Manager 部署环境。由于该组件自 1.36 版本起已非默认启用且官方已停止维护,仅在用户主动启用旧组件时存在风险。
风险分析
攻击者需具备本地高权限(PR:H)才能利用此漏洞。一旦成功访问运行 ADI 服务器的主机,可从环境变量中直接读取明文密钥,从而可能导致:
- 敏感凭证泄露(VC:H、SC:H)
- 系统完整性被破坏(VI:H、SI:H)
- 对关联子系统的未授权控制(SA:H)
尽管漏洞利用需要本地访问和高权限,但其高 CVSS 评分反映了潜在的严重横向移动与权限维持风险。
修复建议
- 立即停用并移除已退役的 ADI 服务器组件,迁移到 Verve Asset Manager 1.36 或更高版本的推荐架构。
- 若必须临时保留该组件,应限制对 ADI 服务器主机的本地访问权限,并定期轮换所有相关密钥,避免长期使用固定凭证。
