【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994)

發布時間 2025-02-11

一、漏洞概述


漏洞名稱

Trimble Cityworks反序列化漏洞

CVE   ID

CVE-2025-0994

漏洞類型

反序列化

發現時間

2025-02-11

漏洞評分

8.6

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

未公開

在野利用

未發現


Trimble Cityworks是一款基于地理信息系統(GIS)的資產管理平臺,專為公共設施管理、城市規劃和基礎設施維護設計。它提供全面的解決方案,幫助政府和企業有效管理資產、維護設施、優化工作流程,并提升運營效率。通過與GIS技術的集成,Cityworks能夠實現精確的空間數據管理,支持智能決策和資源分配。


2025年2月11日,啟明星辰集團VSRC監測到Trimble發布的Cityworks部署相關安全公告。公告顯示,Cityworks 15.8.9之前的版本及Cityworks with Office Companion 23.10之前的版本存在高危反序列化漏洞(CVE-2025-0994)。該漏洞允許經過身份驗證的攻擊者在客戶的Microsoft Internet Information Services(IIS)服務器上執行遠程代碼(RCE),可能導致系統被控制并危及數據安全。


二、影響范圍


Cityworks < 15.8.9
Cityworks with Office Companion < 23.10


三、安全措施


3.1 升級版本


升級至Cityworks 15.8.9或更新版本
升級至Cityworks with Office Companion 23.10或更新版本


下載鏈接:

https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0?


3.2 臨時措施


檢查IIS服務器權限,避免使用本地或域級管理員權限。

優化附件目錄配置,僅允許存儲附件文件。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04
https://nvd.nist.gov/vuln/detail/CVE-2025-0994
https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-05-docx/0?