工業物聯網(IIoT)是工業4.0的核心基石,透過數據的收集與分析,讓生產變得更聰明且有效率。一旦這類平臺出現弱點,將有可能嚴重影響工業環境的資安,甚至進一步造成連鎖反應,演變成公安意外,因此,這類系統的安全,也越來越受到重視。
1月12日新加坡網路安全局(Cyber Security Agency of Singapore,CSA)提出警告,指出工業電腦龍頭與物聯網解決方案龍頭研華科技(Advantech)發布更新,修補IoTSuite 3D Visualization(SaaS Composer)重大層級漏洞CVE-2025-52694,此為SQL注入漏洞,只要存在弱點的系統曝露於網際網路,未經身分驗證的攻擊者可遠端觸發漏洞,使該系統執行任何SQL命令,CVSS風險評分達到10分(滿分10分),相當危險,呼籲用戶要儘速安裝更新。
這項漏洞影響雲端圖像化組態配置工具IoTSuite SaaS Composer,以及多種型態的IoTSuite容器與套件,研華科技發布IoTSuite SaaS Composer V3.4.15、IoTSuite Growth Linux Docker V2.0.2、IoTSuite Starter Linux Docker V2.0.2、IoT Edge Linux Docker V2.0.2,以及IoT Edge Windows V2.0.2修補。
研華也在同日發布資安公告說明,並透露這個漏洞可能會造成的影響。他們提到,此SQL注入漏洞將影響資料的機密性、完整性,以及可用性。在特定情況下,此漏洞有機會用於未經授權存取或竄改資料。
該漏洞發生的原因,在於特定的介面不需通過身分驗證,而有機會遭到利用。在高風險或是不當部署組態下,此漏洞還有可能帶來額外影響。
對此,我們洽詢研華,想進一步了解漏洞對用戶可能造成的影響,該公司表示目前尚未接獲臺灣或全球用戶通報遭到漏洞利用攻擊的情事,他們在資安公告網站公布受影響產品清單、更新修補,以及相關防護的說明,呼籲用戶儘速下載更新與套用,確保系統安全。
回顧過去,資安公司Nozomi曾於2024年揭露研華旗下的工控無線基地臺20個漏洞,引發外界高度關注,一旦遭到利用,攻擊者有機會在未經身分驗證的情況下,使用root權限遠端執行任意程式碼,當時研華發布新版韌體修補部分缺陷。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
