Trimble Cityworks 需授权 反序列化漏洞

上汽集团网络安全应急响应中心 2025-02-14 15:55

漏洞情报

Trimble Cityworks 需授权 反序列化漏洞

【 漏洞编号 】

CVE-2025-0994

【 情报等级 】

高危

【 漏洞描述 】

360漏洞云监测到Trimble发布关于Cityworks相关安全公告，披露了Trimble Cityworks 23.10 之前的版本存在的反序列化漏洞，该漏洞允许经过身份验证的用户对客户的 Microsoft Internet Information Services (IIS) 网络服务器进行远程代码执行攻击。官方已发布新版本修复此漏洞，建议受影响用户及时升级到安全版本。

【 影响产品 】

Cityworks,cityworks<15.8.9,<23.10

【 解决方案与修复建议 】

针对此漏洞，官方已经发布了漏洞修复版本，请立即更新到安全版本：

Cityworks >= 15.8.9

Cityworks with Office Companion >=  23.10

下载链接：

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0? 

安装前，请确保备份所有关键数据，并按照官方指南进行操作。安装后，进行全面测试以验证漏洞已被彻底修复，并确保系统其他功能正常运行。