SysAid ITSM平台曝重大漏洞链

网络安全研究人员近日披露，企业级IT服务管理平台SysAid On-Premise存在严重安全漏洞链，攻击者无需认证即可实现远程命令执行（RCE），完全控制系统。该漏洞链包含三个XML外部实体（XXE）漏洞（CVE-2025-2775至2777），结合命令注入漏洞，可提取包含明文管理员密码的系统文件，获取平台完全控制权限。受影响版本包括23.3.40及之前的所有SysAid On-Premise安装。厂商已在2025年3月发布的24.4.60版本中修复漏洞，强烈建议用户立即升级。