网络安全研究人员揭露了mySCADA myPRO的两个严重漏洞，该系统常用于运营技术（OT）环境中的数据采集与监视控制。PRODAFT指出，利用这些漏洞可能导致未经授权的工业控制网络访问，引发运营中断和财务损失。两个漏洞CVE-2025-20014和CVE-2025-20061均涉及操作系统命令注入，攻击者可通过特制POST请求执行任意命令。mySCADA PRO Manager 1.3和mySCADA PRO Runtime 9.2.1已修复这些问题。PRODAFT强调了SCADA系统中的安全风险，建议组织应用补丁、隔离网络、强化身份验证并监控可疑活动。

🚨mySCADA myPRO系统存在两个严重漏洞（CVE-2025-20014和CVE-2025-20061），CVSS v4评分均为9.3分，源于未能清理用户输入，导致操作系统命令注入风险。

🛡️CVE-2025-20014允许攻击者通过包含版本参数的特制POST请求执行任意命令；CVE-2025-20061允许攻击者通过包含电子邮件参数的特制POST请求执行任意命令。

🛠️mySCADA PRO Manager 1.3和mySCADA PRO Runtime 9.2.1已发布更新，修复了上述漏洞。建议相关用户尽快升级到最新版本。

🔒PRODAFT建议采取多项安全措施，包括应用最新补丁、将SCADA系统与IT网络隔离、实施网络分段、强制执行强身份验证，以及持续监控可疑活动，以降低风险。

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了影响 mySCADA myPRO 的两个严重漏洞的细节，这是一种在运营技术（OT）环境中使用的数据采集与监视控制系统（SCADA）。瑞士安全公司 PRODAFT 表示，如果这些漏洞被利用，可能会使攻击者获得对工业控制网络的未授权访问，从而导致严重的运营中断和财务损失。

这两个漏洞在 CVSS v4 评分系统中均被评定为 9.3 分，具体如下：

– CVE-2025-20014：一种操作系统命令注入漏洞，允许攻击者通过包含版本参数的特制 POST 请求在受影响系统上执行任意命令

– CVE-2025-20061：一种操作系统命令注入漏洞，允许攻击者通过包含电子邮件参数的特制 POST 请求在受影响系统上执行任意命令

成功利用这两个漏洞中的任何一个，都可能使攻击者能够注入系统命令并执行任意代码。这些问题已在以下版本中得到解决：

– mySCADA PRO Manager 1.3

– mySCADA PRO Runtime 9.2.1

据 PRODAFT 称，这两个漏洞均源于未能对用户输入进行清理，从而为命令注入打开了大门。

“这些漏洞突显了 SCADA 系统中的持续安全风险以及加强防御的必要性，”该公司表示。“利用这些漏洞可能导致运营中断、财务损失和安全隐患。”

建议组织应用最新补丁，通过将 SCADA 系统与 IT 网络隔离来实施网络分段，强制执行强身份验证，并监控可疑活动。

 

---

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文