美国网络安全机构CISA发出警告，德国Microsens公司的NMP Web+产品存在多个严重漏洞，可能被黑客远程利用。这些漏洞包括未授权的JWT绕过身份验证、文件覆盖执行任意代码以及JWT令牌未设置过期时间。攻击者可链式利用这些漏洞，实现对系统的完全控制。虽然尚未发现野外利用案例，但由于大量设备暴露在互联网上，存在被扫描攻击的风险。CISA建议用户立即更新至修复版本，并限制管理界面的互联网暴露。

🚨 CISA警告称，Microsens的NMP Web+产品存在多个严重漏洞，可能被远程攻击者利用。

🔑 CVE-2025-49151允许未授权攻击者伪造JWT绕过身份验证，CVE-2025-49153使攻击者能够覆盖服务器文件并执行任意代码，高危漏洞是JWT令牌未设置过期时间。

💥 攻击者可以通过链式利用这些漏洞，实现从无凭证到完全控制系统的“零到英雄”的转变。

🌐 尽管攻击需要访问目标NMP Web+的Web服务器，但大量实例暴露在互联网上，增加了被扫描攻击的风险。

✅ Microsens已发布补丁（Windows/Linux版本3.3.0），CISA建议用户立即更新并限制管理界面的互联网暴露。

HackerNews 编译，转载请注明出处：

网络安全机构CISA上周发布警告称，德国工业网络设备厂商Microsens的NMP Web+产品存在两个严重漏洞和一个高危漏洞，可能被黑客利用实施远程攻击。

Microsens为工业企业和组织提供交换机、转换器、楼宇控制器等自动化解决方案，其NMP Web+平台用于集中管理工业交换机及网络设备配置。漏洞详情如下：

CVE-2025-49151（严重）：未授权攻击者可伪造JSON Web Token（JWT）绕过身份验证；

CVE-2025-49153（严重）：攻击者能覆盖服务器文件并执行任意代码；

高危漏洞：JWT令牌未设置过期时间，导致长期有效。

Claroty Team82研究员Noam Moshe（漏洞发现者）向SecurityWeek表示，攻击者可链式利用这些漏洞：

通过伪造JWT获取系统访问权限；

利用文件覆盖漏洞完全控制操作系统。
“这实现了‘从零到英雄’的跳跃——无需任何凭证即可接管系统。”Moshe强调，尽管攻击需访问目标NMP Web+的Web服务器，但大量实例暴露在互联网，存在被扫描攻击的风险。

CISA确认尚未发现野外利用案例，Microsens已发布补丁（Windows/Linux版本3.3.0）。受影响产品在全球范围部署，尤其涉及关键制造业领域。建议用户立即更新至修复版本，并限制管理界面的互联网暴露。

 

---

消息来源： securityweek ；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文