SonicWall 已发布安全更新，以修复其适用于 Windows 系统的 NetExtender VPN 客户端中的三个严重漏洞。

这些漏洞可能会让攻击者提升权限并篡改系统文件，影响该软件 10.3.2 版本之前的 32 位和 64 位版本。

强烈建议使用 NetExtender 客户端的机构立即更新其安装程序，以降低潜在的安全风险。

SonicWall  NetExtender Windows 客户端漏洞

安全公告概述了 NetExtender Windows 客户端中的三个不同漏洞：

CVE-2025-23008 是一个不当权限管理漏洞，通用漏洞评分系统（CVSS）评分为 7.2，属于严重级别。

该漏洞允许低权限攻击者修改配置，这可能会危及系统安全。此漏洞被归类为 CWE-250，表明其在执行操作时使用了不必要的权限。

CVE-2025-23009 是一个本地权限提升漏洞，CVSS 评分为 5.9，使攻击者能够触发任意文件删除操作。

这个漏洞也属于 CWE-250 类别，如果被利用，可能会导致严重的系统完整性问题。

第三个漏洞 CVE-2025-23010 涉及在文件访问前的不当链接解析（CWE-59），通常称为 “链接跟踪”。

该漏洞的 CVSS 评分为 6.5，允许攻击者操纵文件路径，可能会导致系统可用性问题。

发现 CVE-2025-23008 的 Copperleaf Technologies 安全研究员 Robert Janzen，以及发现 CVE-2025-23009 和 CVE-2025-23010 的 Hayden Wright，已负责任地披露了这些漏洞。

以下是这些漏洞的概述：

受影响的系统及修复措施

这些安全漏洞影响所有版本为 10.3.1 及更早版本的 NetExtender Windows 客户端安装程序（包括 32 位和 64 位）。

SonicWall 基于 Linux 系统的 NetExtender 客户端不受这些漏洞的影响。存在漏洞的组件代码包括客户端的权限管理系统：

SonicWall 已在 NetExtender Windows 客户端 10.3.2 版本中修复了这些问题，该版本现在包括适当的权限检查、安全的路径处理，以及针对链接跟踪攻击的额外防护措施。

SonicWall 在其公告中强调，目前没有证据表明这些漏洞已在现实环境中被利用。

然而，作为一项预防措施，他们强烈建议所有用户升级到 10.3.2 或更高版本。

对于无法立即进行更新的机构，安全专家建议实施网络分段，并应用最小权限原则，以在部署补丁之前尽量减少潜在的攻击面。

管理员应访问 SonicWall 官方支持门户，下载包含这些安全修复的最新 NetExtender 客户端，并在部署前验证数字签名。