西門子、施耐德、菲尼克斯電氣等工控大廠修補高風險漏洞，工業邊緣與製程系統受影響

多家工業自動化與工控系統（ICS）大廠近日發布1月安全更新，修補多項影響工業環境的資安漏洞，影響產品包含工業邊緣運算設備、製程控制系統與工業路由器。相關廠商呼籲用戶儘速評估並套用修補，以降低工控環境遭入侵的風險。

西門子修補Industrial Edge授權繞過漏洞

在工業邊緣設備方面，工業自動化大廠西門子（Siemens）於1月13日公告，其Industrial Edge Device Kit存在一項授權繞過漏洞CVE-2025-40805，CVSS風險分數達到滿分10。未經身分驗證的遠端攻擊者可繞過驗證機制，冒充合法使用者身分，對工業邊緣運算環境構成高度風險。西門子指出，成功濫用該漏洞仍需攻擊者事先掌握合法使用者相關資訊。

除Industrial Edge相關產品外，西門子也同步針對Ruggedcom、ET 200SP，以及TeleControl Server Basic等OT（Operational Technology）產品發布多則安全公告。

從多項CVSS風險分數9以上的案例來看，部分高風險漏洞不一定源自西門子自家程式碼，而與工控設備整合第三方網路安全元件的供應鏈結構密切相關。以RUGGEDCOM APE1808工業邊緣平臺為例，部分高分漏洞來自部署於該平臺上的Fortinet FortiGate NGFW與Palo Alto Networks Virtual NGFW等第三方產品。

施耐德EcoStruxure產品線存在資安漏洞，曝露在權限提升與程式碼執行風險當中

在1月13日發布的安全更新中，施耐德電機（Schneider Electric）則揭露，其EcoStruxure Process Expert存在可被濫用進行權限提升（Privilege Escalation）的漏洞，編號是CVE-2025-13905，CVSS風險分數為7.3。

另一方面，EcoStruxure Power Build Rapsody被發現可透過特製專案檔（SSD檔）觸發記憶體安全漏洞，可能導致緩衝區溢出，並導致任意程式碼執行（Arbitrary Code Execution）的風險。相關問題涉及CVE-2025-13844（CVSS風險分數為5.3）與CVE-2025-13845（CVSS風險分數為7.8）。施耐德也提醒，其部分產品使用的第三方元件如Zigbee存在已知漏洞，可能衍生供應鏈風險。

菲尼克斯電氣工業路由器存在指令注入漏洞

在工業網路設備方面，工控系統業者菲尼克斯電氣（Phoenix Contact）指出，其TC Router與Cloud Client工業路由器中存在一項高風險的指令注入漏洞（Command Injection）CVE-2025-41717，CVSS風險分數為8.8。官方說明，該漏洞需攻擊者已在目標系統上具備較高權限，或能誘使使用者上傳惡意負載，才可能遭到濫用並執行未授權的指令。德國資安應變組織VDE CERT亦發布對應公告，呼籲用戶依原廠指引完成修補。

Aveva修補製程最佳化系統關鍵漏洞

工業軟體供應商Aveva在1月安全公告中，針對Process Optimization（前身為ROMeo）產品修補多項高風險漏洞，包含4個重大等級漏洞，其中CVE-2025-61937的CVSS風險分數達到滿分10分，可能在特定條件下被濫用，導致遠端程式碼執行或權限提升。另外3個重大漏洞CVE-2025-64691、CVE-2025-61943與CVE-2025-65118的CVSS風險分數皆為9.3，可能影響製程系統的機密性與完整性，官方已發布更新，呼籲用戶儘速因應。

Honeywell彙整實體安全系統Windows修補

在實體安全系統方面，Honeywell針對門禁管理產品Pro-Watch，以及影像監控／視訊管理產品MAXPRO VMS與MAXPRO NVR發布安全更新說明，重點在於彙整Microsoft於2025年12月發布的Windows修補程式相容性測試結果。

CISA更新ICS漏洞情資，點名Rockwell與YoSmart

此外，近期美國網路安全暨基礎設施安全局CISA也發布多則ICS安全公告，彙整Rockwell Automation於2025年12月揭露的漏洞，以及影響智慧裝置YoSmart YoLink Smart Hub的漏洞訊息，提醒工控與關鍵基礎設施營運單位依建議完成修補並降低曝險面。