万利国际官网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Trimble Cityworks反序列化误差(CVE-2025-0994)

宣布时间 2025-02-11

一、误差概述

误差名称	Trimble Cityworks反序列化误差
CVE ID	CVE-2025-0994
误差类型	反序列化	发明时间	2025-02-11
误差评分	8.6	误差品级	高危
攻击向量	网络	所需权限	高
使用难度	低	用户交互	无
PoC/EXP	未果真	在野使用	未发明

Trimble Cityworks是一款基于地理信息系统（GIS）的资产治理平台，，，，，，，，专为公共设施治理、都会妄想和基础设施维护设计。。。它提供周全的解决计划，，，，，，，，资助政府和企业有用治理资产、维护设施、优化事情流程，，，，，，，，并提升运营效率。。。通过与GIS手艺的集成，，，，，，，，Cityworks能够实现准确的空间数据治理，，，，，，，，支持智能决媾和资源分派。。。

2025年2月11日，，，，，，，，万利国际官网集团VSRC监测到Trimble宣布的Cityworks安排相关清静通告。。。通告显示，，，，，，，，Cityworks 15.8.9之前的版本及Cityworks with Office Companion 23.10之前的版本保存高危反序列化误差（CVE-2025-0994）。。。该误差允许经由身份验证的攻击者在客户的Microsoft Internet Information Services（IIS）效劳器上执行远程代码（RCE），，，，，，，，可能导致系统被控制并危及数据清静。。。

二、影响规模

Cityworks < 15.8.9

Cityworks with Office Companion < 23.10

三、清静步伐

3.1 升级版本

升级至Cityworks 15.8.9或更新版本

升级至Cityworks with Office Companion 23.10或更新版本

下载链接：

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0?

3.2 暂时步伐

? 检查IIS效劳器权限，，，，，，，，阻止使用外地或域级治理员权限。。。

? 优化附件目录设置，，，，，，，，仅允许存储附件文件。。。

3.3 通用建议

? 按期更新系统补丁，，，，，，，，镌汰系统误差，，，，，，，，提升效劳器的清静性。。。

? 增强系统和网络的会见控制，，，，，，，，修改防火墙战略，，，，，，，，关闭非须要的应用端口或效劳，，，，，，，，镌汰将危险效劳（如SSH、RDP等）袒露到公网，，，，，，，，镌汰攻击面。。。

? 使用企业级清静产品，，，，，，，，提升企业的网络清静性能。。。

? 增强系统用户和权限治理，，，，，，，，启用多因素认证机制和最小权限原则，，，，，，，，用户和软件权限应坚持在最低限度。。。

? 启用强密码战略并设置为按期修改。。。

3.4 参考链接

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04

https://nvd.nist.gov/vuln/detail/CVE-2025-0994

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-05-docx/0?

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】