文章总结： 新加坡网络安全局发布警报，研华科技物联网产品存在严重SQL注入漏洞CVE-2025-52694，CVSS评分满分。该漏洞允许未认证远程攻击者执行任意SQL命令，可能导致敏感数据泄露或系统完全被控。受影响组件涵盖IoTSuite及IoTEdge旧版本，建议管理员立即更新至最新版本或联系厂商获取修复。 综合评分： 83 文章分类： 漏洞预警,IoT安全,漏洞分析

CVE-2025-52694 (CVSS 10)：研华 SQL 注入漏洞严重，物联网设备面临风险

sec随谈

sec随谈

2026年1月13日 08:55 北京

新加坡网络安全局 (CSA) 已发布高优先级警报，指出研华科技物联网产品线存在一个严重漏洞。该漏洞编号为 CVE-2025-52694，CVSS 评分为最高分 10.0，表明其构成严重威胁，需要管理员立即关注。

该漏洞为 SQL 注入漏洞。根据安全公告，成功利用该漏洞将允许“未经身份验证的远程攻击者执行任意 SQL 命令”。

这意味着，如果存在漏洞的服务暴露在互联网上，攻击者无需用户名或密码即可发起攻击。他们只需向数据库发送恶意命令，就可能窃取敏感数据、修改系统配置，甚至完全控制连接的物联网基础设施。

该漏洞由HCMUTE信息安全俱乐部的Loi Nguyen Thang先生发现，他与研华科技和CSA合作进行了协调披露。

该漏洞影响研华物联网生态系统的多个组件，尤其是其管理软件和边缘软件的旧版本。受影响的组件包括：

• IoTSuite SaaSComposer：3.4.15 之前的版本
• IoTSuite Growth Linux Docker：V2.0.2 之前的版本
• IoTSuite Starter Linux Docker：版本 2.0.2 之前的版本
• IoT Edge Linux Docker：版本 2.0.2 之前的版本
• IoT Edge Windows：V2.0.2 之前的版本

建议用户和管理员立即更新至最新版本，以弥补此安全漏洞。更新路径因产品而异：

• 手动请求：IoTSuite SaaSComposer、IoTSuite Growth Linux docker 和 IoT Edge Windows 的用户必须直接联系研华技术支持以获取官方修复版本。
• 直接下载：IoTSuite Starter Linux docker 和 IoT Edge Linux docker 的更新可通过研华官方渠道下载。

参考链接：

https://www.csa.gov.sg/alerts-and-advisories/alerts/alerts-al-2026-001/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2025-52694 (CVSS 10)：研华 SQL 注入漏洞严重，物联网设备面临风险》