Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994)

Trimble Cityworks‌是一款以地理信息系统（GIS）为中心的资产管理和工单管理软件,主要面向地方政府、公用事业和公共工程组织。该软件通过集成Esri的ArcGIS,帮助用户管理基础设施资产、跟踪工单并简化运营流程‌。

漏洞详情:

Trimble发布关于Cityworks相关安全公告,披露了Trimble Cityworks 23.10之前的版本存在的反序列化漏洞,该漏洞允许经过身份验证的用户对客户的Microsoft Internet Information Services (IIS) 网络服务器进行远程代码执行攻击。官方已发布新版本修复此漏洞,建议受影响用户及时升级到安全版本。

修复方案:
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:

Cityworks >= 15.8.9

Cityworks with Office Companion >= 23.10

下载链接:
https://learn.assetlifecycle.trimble.com/i/1532182-cityworks-customer-communication-2025-02-06-docx/0?

安装前,请确保备份所有关键数据,并按照官方指南进行操作。安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:
https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-04

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994)