网络安全和基础设施安全局 （CISA） 发布了关于影响 ControlID iDSecure On-premises 的三个新发现漏洞的风险咨询，ControlID iDSecure On-premises 是一款广泛部署在工业和运输系统中的车辆访问控制软件。

根据该公告，利用这些漏洞可能使攻击者能够绕过身份验证、提取敏感信息或执行 SQL 注入，从而使系统完整性和敏感数据面临风险。

该公告显示“成功利用这些漏洞可能允许攻击者绕过身份验证、检索信息、泄露任意数据或执行 SQL 注入”。

这三个漏洞包括：

身份验证不当 – CVE-2025-49851 （CVSS 7.5）：此缺陷允许威胁行为者绕过身份验证机制并在系统内获得未经授权的权限。服务器端请求伪造 （SSRF） – CVE-2025-49852 （CVSS 7.5）：未经身份验证的攻击者可利用此缺陷诱骗应用程序对内部资源发出未经授权的请求，从而可能从其他无法访问的系统检索敏感信息。SQL 注入 – CVE-2025-49853 （CVSS 9.1）：此严重漏洞使攻击者能够将恶意 SQL 代码注入数据库查询。如果被利用，它可能导致任意数据泄露或纵底层数据库。

所有 ControlID iDSecure 本地版（最高版本 4.7.48.0）的安装都会受到影响。供应商已发布修补版本 （4.7.50.0） 来修复这些漏洞。

Claroty’s Team82 的 Noam Moshe 负责任地向 CISA 披露了这三个缺陷，该组织是专门从事 OT 和 ICS 安全的著名网络安全研究小组。

ControlID 建议所有使用 iDSecure 本地部署的客户升级到版本 4.7.50.0，以解决这些漏洞。

截至目前，CISA 确认没有已知的公开利用报告，但敦促组织迅速采取行动，以防止未来的泄露。