Μια κρίσιμη συμβουλή ασφαλείας για την αντιμετώπιση πολλαπλών τρωτών σημείων που ανακαλύφθηκαν στο λογισμικό Eaton UPS Companion (EUC).
Αυτά τα ελαττώματα ασφαλείας, εάν εκμεταλλευτούν, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν αυθαίρετο κώδικα στο κεντρικό σύστημα, δίνοντάς τους ενδεχομένως τον πλήρη έλεγχο των επηρεαζόμενων συσκευών.
Η συμβουλευτική, που προσδιορίζεται ως ETN-VA-2025-1026, υπογραμμίζει δύο συγκεκριμένα τρωτά σημεία που επηρεάζουν όλες τις εκδόσεις του λογισμικού Eaton UPS Companion πριν από την έκδοση 3.0.
Η εταιρεία έχει ταξινομήσει τον συνολικό κίνδυνο ως Υψηλό, προτρέποντας τους χρήστες να ενημερώσουν αμέσως το λογισμικό τους.
| Αναγνωριστικό CVE | Αυστηρότητα | Τύπος ελαττώματος | Περίληψη τεύχους |
|---|---|---|---|
| CVE-2025-59887 | Υψηλό (8,6) | Μη ασφαλής φόρτωση βιβλιοθήκης | Ένα ελάττωμα στο πρόγραμμα εγκατάστασης επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα εκμεταλλευόμενοι τη μη ασφαλή φόρτωση της βιβλιοθήκης. |
| CVE-2025-59888 | Μεσαία (6,7) | Μη εισαγωγική διαδρομή αναζήτησης | Ένα πρόβλημα διαδρομής αναζήτησης χωρίς εισαγωγικά επιτρέπει στους τοπικούς εισβολείς να εκτελούν κακόβουλα αρχεία στο σύστημα. |
Λεπτομέρειες ευπάθειας
Το πιο σοβαρό πρόβλημα, που παρακολουθείται ως CVE-2025-59887, φέρει βαθμολογία CVSS 8,6 (Υψηλό). Αυτή η ευπάθεια περιλαμβάνει μη ασφαλή φόρτωση βιβλιοθήκης εντός του προγράμματος εγκατάστασης λογισμικού.
Οι ερευνητές ασφαλείας διαπίστωσαν ότι ένας εισβολέας με πρόσβαση στο πακέτο λογισμικού θα μπορούσε να εκμεταλλευτεί αυτό το ελάττωμα για να εκτελέσει αυθαίρετο κώδικα.
Αυτός ο τύπος ευπάθειας εμφανίζεται συχνά όταν μια εφαρμογή φορτώνει βιβλιοθήκες δυναμικών συνδέσμων (DLL) από μια μη ασφαλή διαδρομή, επιτρέποντας τη φόρτωση κακόβουλων αρχείων αντί για νόμιμες.
Το δεύτερο θέμα ευπάθειας, το CVE-2025-59888 (CVSS 6.7), σχετίζεται με ένα ζήτημα «ακατάλληλης προσφοράς» στις διαδρομές αναζήτησης του λογισμικού.
Σε αυτό το σενάριο, εάν ένας εισβολέας έχει πρόσβαση στο τοπικό σύστημα αρχείων, θα μπορούσε να τοποθετήσει ένα κακόβουλο εκτελέσιμο αρχείο σε μια συγκεκριμένη τοποθεσία που εκτελεί ακούσια το λογισμικό.
Αυτό το ελάττωμα στοχεύει συγκεκριμένα τον τρόπο με τον οποίο το λειτουργικό σύστημα Windows χειρίζεται διαδρομές αρχείων που περιέχουν κενά αλλά δεν έχουν εισαγωγικά.
Η Eaton κυκλοφόρησε την έκδοση 3.0 του λογισμικού UPS Companion για να διορθώσει αυτά τα ελαττώματα. Η εταιρεία συμβουλεύει θερμά όλους τους πελάτες να μετεγκατασταθούν σε αυτήν την ασφαλή έκδοση αμέσως.
Η ενημέρωση είναι διαθέσιμη για λήψη μέσω των επίσημων καναλιών διανομής λογισμικού της Eaton. Για χρήστες που δεν μπορούν να εφαρμόσουν την ενημέρωση κώδικα αμέσως, Eaton συνιστά τα ακόλουθα βήματα μετριασμού: Περιορίστε την τοπική και απομακρυσμένη πρόσβαση στο κεντρικό σύστημα μόνο σε εξουσιοδοτημένο προσωπικό.
Βεβαιωθείτε ότι όλα τα δίκτυα συστημάτων ελέγχου βρίσκονται πίσω από τείχη προστασίας με ασφάλεια διαμορφωμένα. Αποφύγετε τη λήψη λογισμικού από ανεπίσημες πηγές για την αποφυγή παραβίασης.
Διατηρώντας τα συστήματα ενημερωμένα και περιορίζοντας την πρόσβαση, οι οργανισμοί μπορούν να μειώσουν σημαντικά τον κίνδυνο εκμετάλλευσης.
