ГлавнаяБаза уязвимостей БДУ → BDU:2025-09156
10критическая

BDU:2025-09156 (CVE-2025-3936)

Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security, связанная с недостаточным вычислением хэша пароля, позволяющая нарушителю получить доступ к устройству
Опубликовано: 2025-07-29
Описание

Уязвимость платформы управления устройствами систем отопления, вентиляции и кондиционирования воздуха, освещения и энергопотребления Niagara Framework и средства контроля доступа и обеспечения безопасности Niagara Enterprise Security связана с недостаточным вычислением хэша пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к устройству

Затрагиваемое ПО и версии
Niagara Framework (до 4.14.2)Niagara Enterprise Security (до 4.14.2)Niagara Enterprise Security (до 4.15.1)Niagara Framework (до 4.15.1)Niagara Framework (до 4.10.11)Niagara Enterprise Security (до 4.10.11)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для фильтрации сетевого трафика;
- сегментирование сети с целью ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
Обновление программных средств до версии 4.14.2u2, 4.15.u1, 4.10u.11 или выше.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://securitricks.com/cve/CVE-2025-3936https://www.honeywell.com/us/en/product-security#security-noticeshttps://thehackernews.com/2025/07/critical-flaws-in-niagara-framework.htmlhttps://www.nozominetworks.com/blog/critical-vulnerabilities-found-in-tridium-niagara-framework
Проверьте безопасность своего сайта и почты → Полная проверка домена