漏洞概述
Altium Designer 版本 24.9.0 在与云服务建立连接时,未对自签名服务器证书进行有效验证。攻击者若能实施中间人(MITM)攻击,可借此拦截或篡改网络通信,可能导致用户身份凭证或敏感设计数据泄露。
漏洞详情
- CVE 编号:CVE-2025-27377
- 漏洞类型:不正确的证书验证(CWE-295)
- CVSS 评分:5.3(中危),向量:CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
- 影响版本:Altium Designer 24.9.0
影响范围
使用 Altium Designer 24.9.0 版本并通过云连接功能与远程服务器通信的用户均受此漏洞影响。该问题仅在软件尝试连接使用自签名证书的服务器时触发,但因缺乏验证机制,可能被恶意利用。
风险分析
该漏洞允许具备网络中间人能力的攻击者解密或篡改客户端与云服务之间的通信内容。虽然攻击需要用户交互(如点击确认不安全连接)且攻击复杂度较高,但一旦成功,可导致高保密性信息(如登录凭证、PCB 设计文件等)泄露,存在显著的数据安全风险。
修复建议
- 建议用户尽快升级至 Altium 官方发布的最新安全版本,以修复证书验证缺陷。
- 在官方补丁发布前,应避免在不可信网络环境中使用云连接功能,并确保所有云服务使用由可信 CA 签发的有效 SSL/TLS 证书。
