每周网安资讯 （5.13-5.19）| Siemens SIMATIC PCS neo漏洞预警

交大捷普 2025-05-19 10:14

2025[ 每周网安资讯 ]5.13-5.19

网安资讯

1、国家信息中心牵头编制的国家标准《数据安全技术 政务数据处理安全要求》正式发布

近日，《数据安全技术 政务数据处理安全要求》（GB/T 45396-2025）经国家市场监督管理总局、国家标准化管理委员会正式批准发布。标准由国家信息中心牵头，联合近20家业内优秀产学研机构共同编制，面向政务数据处理活动，对全国各级政务部门开展广泛调研，与国内政务、数据安全等领域专家进行了充分交流，旨在规范政务数据处理活动，强化各级政务部门数据安全保护能力，为各地方、各行业部门提升政务数据安全保障水平提供参考指引。

安全情报

1、Siemens SIMATIC PCS neo漏洞预警

Siemens SIMATIC PCS neo会话有效期不足漏洞，成功利用此漏洞可能允许远程未经身份验证的攻击者（通过其他方式获取会话令牌）即使在注销后也能重新使用合法用户的会话。

西门子报告称，以下产品受到影响：SIMATIC PCS neo V4.1：V4.1更新3之前的所有版本；

SIMATIC PCS neo V5.0：V5.0更新1之前的所有版本。

2、新型.NET多阶段加载器持续传播多款恶意软件

自2022年起，安全研究人员发现一种基于.NET的多阶段加载器，采用复杂的三阶段结构，专门在Windows系统中部署信息窃取器和远程访问木马，如AgentTesla、Formbook和Remcos等。其最新变种甚至将加密数据隐藏在位图资源中，以规避静态分析。该加载器首先执行一个.NET可执行文件，内嵌加密数据，随后通过.NET DLL解密并加载第三阶段的恶意负载。

3、APT28利用XSS漏洞向高价值邮件服务器注入恶意代码

自2004年起活跃的俄罗斯APT28组织，通过鱼叉式网络钓鱼邮件向全球范围内的政府、国防实体以及与乌克兰冲突相关的实体等发送恶意JavaScript有效载荷，利用XSS漏洞窃取敏感数据。攻击始于2023年，最初针对Roundcube网络邮件，后扩展到Horde、MDaemon和Zimbra等平台。重要的是，攻击者利用了MDaemon平台中的一个零日XSS漏洞CVE-2024-11182。

4、ECOVACS DEEBOT Vacuum and Base Station漏洞预警

ECOVACS DEEBOT Vacuum and Base Station存在使用硬编码加密密钥，下载代码时未进行完整性检查漏洞，成功利用这些漏洞可能会使攻击者向设备发送恶意更新或执行代码。

漏洞预警

1、CVE-2025-47273

setuptools是一个允许用户下载、构建、安装、升级和卸载Python包的包。78.1.1之前的setuptools中存在“PackageIndex”中的路径遍历漏洞。攻击者将被允许使用运行Python代码的进程的权限将文件写入文件系统上的任意位置，这可能会根据上下文升级为远程代码执行。版本78.1.1修复了这个问题。

2、CVE-2025-4808

在PHPGurukul公园票务管理系统2.0中发现了一个漏洞，并将其归类为严重漏洞。此问题会影响文件/add-normal-ticket.php的一些未知处理。操纵参数noadlt/nochildren/aprice/cprice会导致sql注入。攻击可能是远程发起的。该漏洞已向公众披露，可能会被使用。其他参数也可能受到影响。

3、Netgate pfSense CE 跨站脚本漏洞

Netgate pfSense CE是Netgate公司的一个基于FreeBSD的开源防火墙与路由平台，支持企业级网络安全与网络管理功能。Netgate pfSense CE 2.8.0 beta之前版本存在安全漏洞，该漏洞源于widgets/log.widget.php存在跨站脚本攻击。

4、CVE-2025-4610

WordPress的WP成员资格插件插件在3.5.2之前（包括3.5.2）的所有版本中都容易通过插件的wpmem_user_memberships短代码受到存储的跨站点脚本攻击，原因是用户提供的属性的输入净化和输出转义不足。这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在页面中注入任意web脚本，这些脚本将在用户访问注入的页面时执行。

关于捷普

捷普
作为一家国内先进的新时代网络信息安全产品和服务提供商，坚持以“全面安全 智慧安全”为产品理念，持续技术创新，为广大用户提供
基础设施安全、信创安全、工业互联网安全、云安全、物联网安全、国密安全
等六大系列网络安全产品。并在风险评估、渗透测试等
安全服务
上占据优势，协助用户全面提升IT基础设施的安全性、合规性和生产效能，面向数字时代保障信息系统全面安全。

END