漏洞概述
Rockwell Automation 在其 Verve Asset Manager 产品中发现一个安全漏洞(CVE-2025-14377)。该漏洞存在于已弃用的旧版 Ansible playbook 组件中,当 playbook 运行时,会以明文形式错误地存储敏感信息(如密钥或凭证)。该组件自 2024 年发布的 1.36 版本起已被标记为可选,并已正式退役。
漏洞详情
- CVE 编号:CVE-2025-14377
- 漏洞类型:明文存储敏感信息(CWE-312)
- CVSS 评分:8.8(HIGH)
- 影响版本:Verve Asset Manager 中使用了 legacy Ansible playbook 组件的版本(该组件自 1.36 起已弃用且为可选)
影响范围
所有仍在使用 Verve Asset Manager 旧版本中 legacy Ansible playbook 功能的用户均可能受到影响。由于该组件已在 1.36 版本后被弃用并设为可选,仅在启用该功能的部署环境中存在风险。
风险分析
攻击者若能获取对系统日志、临时文件或配置存储的访问权限,可能从中提取明文形式的敏感凭证或密钥,进而导致机密信息泄露、系统完整性受损,甚至可能实现横向移动或权限提升。尽管利用需具备较高权限(PR:H),但一旦成功,对机密性(VC:H/SC:H)和完整性(VI:H/SI:H)的影响严重。
修复建议
- 建议用户升级至 Verve Asset Manager 1.36 或更高版本,并确保禁用或移除 legacy Ansible playbook 组件。
- 如暂时无法升级,应立即停止使用该 legacy 组件,并审查系统中是否存在明文存储的敏感信息,及时轮换相关凭证。
