Lynx+网关的CVE-2025-55034、CVE-2025-58083等漏洞

Lynx+ Gateway 是一款物联网网关设备，物联网网关的核心功能通常包括‌协议转换‌、‌数据转发与聚合‌、‌安全认证‌、‌远程管理‌及‌边缘计算等。

一、基本情况

Lynx+ Gateway 网络设备或软件主要用于转发、转换或管理不同网络之间的数据流量，其核心功能包括协议转换、流量管理、安全防护等。

Lynx+ Gateway 支持跨协议通信（如 HTTP 到 MQTT），实现不同环境数据交互，提供负载均衡、限流、路由等功能，优化网络资源分配。

栋科技漏洞库关注到通用 Lynx+ Gateway 多个漏洞，追踪为CVE-2025-55034、CVE-2025-58083、CVE-2025-59780、CVE-2025-62765。

二、漏洞分析

CVE-2025-55034

CVE-2025-55034漏洞是一个Lynx+ 网关弱密码漏洞，漏洞的CVSS 4.0评分为8.2 。

CVE-2025-55034是General Industrial Controls Lynx+ Gateway 弱密码策略漏洞，可导致攻击者通过暴力破解手段获得未经授权访问权限。

该漏洞源于系统对密码强度的要求不足，允许设置过于简单或常见的密码，攻击者利用该漏洞，通过枚举常见凭证组合进行暴力破解攻击。

具体来说，该产品的密码策略存在缺陷，易遭受暴力破解攻击，虽然官方未明确指定具体影响版本，但漏洞描述针对 Lynx+ Gateway 产品。

CVE-2025-58083

CVE-2025-58083漏洞是一个Lynx+ 网关关键功能缺失认证漏洞，漏洞的CVSS 4.0评分为9.2。

CVE-2025-58083漏洞是General Industrial Controls Lynx+ Gateway 中存在的一个关键身份验证缺失漏洞，位于其嵌入式 Web 服务器中。

该漏洞由于嵌入式 Web 服务器未实施关键身份验证机制，攻击者可利用这一点无需认证访问特定功能，同时也是本次发现的最严重漏洞。

远程攻击者可能利用漏洞通过构造恶意请求，无需授权即可重置设备，导致服务中断或配置丢失，漏洞利用难度极低且可能造成严重影响。

CVE-2025-59780

CVE-2025-59780漏洞是一个Lynx+ 网关敏感数据检索缺失认证漏洞，漏洞的CVSS 4.0评分为8.7。

该漏洞源于设备内置 Web 服务器未正确实施身份验证机制，漏洞的存在可导致攻击者无需认证即可通过构造特定 GET 请求访问敏感信息。

具体来说，这个关键身份验证缺失漏洞允许未经身份验证的攻击者可远程获取设备上的敏感信息，可能用于后续入侵或造成信息泄露风险。

CVE-2025-62765

CVE-2025-62765漏洞是一个Lynx+ 网关敏感信息明文传输漏洞，漏洞的CVSS 4.0评分为8.7。

这是Lynx+ Gateway 存在的敏感信息（包括凭据）未加密传输的安全漏洞，可能使攻击者通过监控网络流量获取敏感信息，包括明文凭据。

该漏洞允许攻击者通过监听网络流量，获取敏感信息，包括明文传输的身份验证凭据，进而可能会导致系统被未授权访问或进一步的攻击。

这些漏洞共同构成高风险场景，攻击者可能借此窃取凭据、重置设备、访问内部信息或中断运营。

三、影响范围

Lynx+ Gateway R08

Lynx+ Gateway V03

Lynx+ Gateway V05

Lynx+ Gateway V18

这些设备广泛部署于工业和运营技术环境，依赖 Lynx+ 进行连接或控制的组织需紧急响应此公告。

四、修复建议

未知

五、参考链接

[lv][https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-317-08.json/lv]