优发国际网站官网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Trimble Cityworks反序列化误差(CVE-2025-0994)

宣布时间 2025-02-11

一、误差概述

误差名称	Trimble Cityworks反序列化误差
CVE ID	CVE-2025-0994
误差类型	反序列化	发明时间	2025-02-11
误差评分	8.6	误差品级	高危
攻击向量	网络	所需权限	高
使用难度	低	用户交互	无
PoC/EXP	未果真	在野使用	未发明

Trimble Cityworks是一款基于地理信息系统（GIS）的资产治理平台，专为公共设施治理、都会妄想和基础设施维护设计。它提供周全的解决计划，资助政府和企业有用治理资产、维护设施、优化事情流程，并提升运营效率。通过与GIS手艺的集成，Cityworks能够实现准确的空间数据治理，支持智能决媾和资源分派。

2025年2月11日，优发国际网站官网集团VSRC监测到Trimble宣布的Cityworks安排相关清静通告。通告显示，Cityworks 15.8.9之前的版本及Cityworks with Office Companion 23.10之前的版本保存高危反序列化误差（CVE-2025-0994）。该误差允许经由身份验证的攻击者在客户的Microsoft Internet Information Services（IIS）服务器上执行远程代码（RCE），可能导致系统被控制并危及数据清静。

二、影响规模

Cityworks < 15.8.9

Cityworks with Office Companion < 23.10

三、清静步伐

3.1 升级版本

升级至Cityworks 15.8.9或更新版本

升级至Cityworks with Office Companion 23.10或更新版本

下载链接：

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0?

3.2 暂时步伐

? 检查IIS服务器权限，阻止使用外地或域级治理员权限。

? 优化附件目录设置，仅允许存储附件文件。

3.3 通用建议

? 按期更新系统补丁，镌汰系统误差，提升服务器的清静性。

? 增强系统和网络的会见控制，修改防火墙战略，关闭非须要的应用端口或服务，镌汰将危险服务（如SSH、RDP等）袒露到公网，镌汰攻击面。

? 使用企业级清静产品，提升企业的网络清静性能。

? 增强系统用户和权限治理，启用多因素认证机制和最小权限原则，用户和软件权限应坚持在最低限度。

? 启用强密码战略并设置为按期修改。

3.4 参考链接

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04

https://nvd.nist.gov/vuln/detail/CVE-2025-0994

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-05-docx/0?

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号