Valmet DNA工程网络工具存在路径遍历漏洞（CVE待定）

Valmet DNA工程网络工具受路径遍历漏洞影响

西班牙马德里 – 2026年2月20日 – INCIBE-CERT发布安全公告，警示Valmet DNA工程网络工具（用于工业流程自动化与控制的软件套件）中存在路径遍历漏洞（Path Traversal Vulnerability）。该漏洞目前尚未分配CVE编号，可能允许攻击者未经授权访问受限目录，进而暴露敏感系统文件。

技术细节

该漏洞源于Valmet DNA工程工具基于Web的界面中目录访问控制限制不当。具有网络访问权限的攻击者可利用此漏洞遍历预期受限路径之外的目录，从而访问配置文件、凭据或其他关键数据。

• 受影响软件：Valmet DNA Engineering Web Tools
• 漏洞类型：路径遍历（CWE-22）
• 影响：未授权目录访问，潜在数据泄露
• CVSS评分：待定（可能为高危）
• 补丁状态：尚未发布

影响分析

Valmet DNA工程工具等工业控制系统（ICS）在制浆造纸、能源生产等行业中至关重要。若该漏洞被成功利用，可能导致：

• 未授权访问敏感运营数据
• 工业流程中断，如配置文件被篡改
• 网络横向移动，如凭据泄露

由于该软件部署于运营技术（OT）环境，风险不仅限于数据泄露，还可能引发物理后果，包括设备损坏或安全事故。

安全团队建议

INCIBE-CERT与Valmet尚未发布补丁，但使用受影响软件的组织应采取以下措施：

1. 限制网络访问

   • 将DNA工程网络工具界面仅暴露于可信网络。
   • 配置防火墙规则，阻止对Web界面端口的未授权访问。

2. 监控可疑活动

   • 部署**入侵检测/防御系统（IDS/IPS）**以检测路径遍历攻击。
   • 审查日志，查找对受限目录的异常访问模式。

3. 实施纵深防御措施

   • 将OT网络与企业IT网络隔离，遏制潜在入侵。
   • 对系统用户实施最小权限访问原则。

4. 准备修补

   • 关注Valmet官方渠道的安全更新，并在发布后立即应用。
   • 在非生产环境中测试补丁，避免运营中断。

后续步骤

INCIBE-CERT将在获取更多信息后更新公告，包括CVE编号及补丁详情。依赖Valmet DNA工程工具的组织应将此视为高优先级问题，并实施缓解措施直至修复方案发布。

更多详情，请参阅INCIBE-CERT的原始公告。