CISA（美國網路安全暨基礎建設安全局）於 2025年7月8日發佈編號 ICSA-25-189-01 的警示，公告在 Emerson ValveLink 系列產品中發現多項關鍵安全漏洞，涵蓋 ValveLink SOLO、DTM、PRM 與 SNAP-ON 等，所有早於 14.0 版本之前的軟體均受影響。

漏洞技術分析

以下五項問題分別被識別為 CWE 類型，並分別被指定 CVE 編號：

1. 記憶體內明文儲存敏感資料（CVE-2025-52579，CVSS 9.4/9.3，高危級）：敏感資訊如金鑰或憑證以明文儲存於記憶體中，可能被 crash dump 或磁碟快照捕捉 Cyber
2. 明文於共享記憶體資源中存放（CVE-2025-50109，CVSS 8.5，高危）：同上，漏洞擴大至所有共享記憶體資源。
3. 保護機制缺失或失效（CVE-2025-46358，CVSS 8.5，高危）：無法有效防禦定向攻擊。
4. 不受控的搜尋路徑元素（CVE-2025-48496，CVSS 5.9，中危）：可能允許攻擊者將惡意 DLL 或程式放置於搜尋路徑，導致利用。
5. 輸入驗證不足（CVE-2025-53471，CVSS 5.9，中危）：攻擊者可藉由傳入異常資料觸發異常行為

成功滲透這些漏洞後，攻擊者可讀取敏感資訊、篡改設備參數，甚至在控制系統上執行未授權程式碼。
 

修補與緊急對應建議

立即升級：Emerson 已釋出 ValveLink 14.0 版本，修補上述所有漏洞。官方強烈建議所有使用者儘速升級 。

網路隔離與最小權限配置：

• 阻擋 ValveLink 控制網路與公網或企業網分離；

• 透過防火牆或 ACL 僅允許必要的 IP 端點存取；

• 如需遠端操作，應使用最新版本 VPN，並確保設備安全與身分驗證機制完備 Facebook+9Industrial Cyber+9Cyber Security News+9。

落實稽核與監控：

• 檢查設備是否有未授權程式改動或記憶體 dump；

• 部署 NDR/IDS 等異常偵測工具，稽查非預期資料擷取與程式執行行為；

• 根據 CISA 建議，進行風險分析後，部署多層防禦策略 cisa.gov+1Industrial Cyber+1。