Iskra iHUB缺少关键功能认证漏洞CVE-2025-13510

Iskra iHUB 和 iHUB Lite 是斯洛文尼亚 Iskra 公司推出的两款智能计量网关与数据集中器，它们是全球能源领域关键基础设施的核心设备。

一、基本情况

Iskra iHUB 和 iHUB Lite 作为能源数据传输与处理的枢纽，可收集和处理大量终端的能耗数据，支撑现代电力等公用事业管理系统的运行。

它们集中采集分散在各处智能电表等终端设备的数据，并进行整合处理后同步至后端管理系统，广泛部署于全球能源领域关键基础设施。

Iskra iHUB 和 iHUB Lite 是连接终端计量设备与上层管理平台的重要桥梁，助力电力公用事业企业高效完成能耗数据统计、设备状态监控。

栋科技漏洞库关注到Iskra iHUB 和 iHUB Lite 存在关键功能漏洞导致身份验证缺失，漏洞追踪为CVE-2025-13510，CVSS 4.0评分为 9.3。

二、漏洞分析

CVE-2025-13510漏洞是存在于Iskra iHUB 和 iHUB Lite 智能电表网关中的高危安全漏洞，两款设备的所有版本均受这一高危漏洞的影响。

由于Iskra iHUB 和 iHUB Lite 智能电表网关的 Web 管理接口未启用认证机制，导致攻击者可在未登录的情况下访问并修改关键设备设置。

远程攻击者可直接通过构造特定请求访问该接口，攻击者可利用这一漏洞查看或篡改设备配置，例如通信参数、固件更新设置关键信息。

这使得未授权的攻击者能够修改设备行为、获取敏感信息或者导致设备功能异常，可能存在进一步威胁电网数据安全与运行稳定性风险。

由于Iskra iHUB和iHUB Lite智能计量网关暴露其Web管理界面，无需身份验证即可访问，未经身份验证用户可访问并修改关键设备设置。

攻击者只需具备网络访问权限，就能轻松远程重新配置设备、篡改固件、操控关联系统，攻击者一旦获取访问权限直接获得管理员权限。

由于 Web 界面控制设备核心功能，这可能引发能源服务中断、植入恶意程序，甚至借助网关作为跳板攻击下游更多系统等等严重后果。

三、影响范围

Iskra iHUB

Iskra iHUB Lite

四、修复建议

目前暂无无厂商补丁

五、参考链接

管理员已设置登录后刷新可查看