每周网安资讯 （4.22-4.27）|Johnson Controls ICU漏洞预警

交大捷普 2025-04-27 10:15

2025[ 每周网安资讯 ]4.22-4.27

网安资讯

1、全国数标委公开征求《可信数据空间 技术架构（征求意见稿）》技术文件意见

为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划（2024—2028年）》等政策文件要求，充分考虑可信数据空间作为数据基础设施重要技术路线的定位，在国家数据局的指导下，全国数据标准化技术委员会秘书处组织来自地方政府、科研院所、高等院校、重点央国企、科技龙头企业等130余家单位，开展《可信数据空间 技术架构》技术文件编制，征求多方意见并修改完善，形成该技术文件征求意见稿。

安全情报

1、Johnson Controls ICU漏洞预警

Johnson Controls ICU存在基于堆栈的缓冲区溢出漏洞，成功利用此漏洞可能允许攻击者执行任意代码。江森自控报告以下版本的ICU受到影响：ICU：6.9.5之前的版本。

2、Nice Linear eMerge E3漏洞预警

Nice Linear eMerge E3存在对操作系统命令中使用的特殊元素进行不当中和（“OS命令注入”）漏洞，成功利用此漏洞可能允许攻击者执行任意操作系统命令。以下版本的Nice Linear eMerge E3受到影响：线性eMerge E3：版本1.00-07及之前。

3、ALBEDO Telecom Net.Time – PTP/NTP Clock漏洞预警

ALBEDO Telecom Net.Time – PTP/NTP Clock存在会话到期时间不足漏洞，成功利用此漏洞可能允许攻击者通过未加密的连接传输密码，导致产品容易被拦截。以下版本的Net.Time – PTP/NTP clock受到影响：Net.Time – PTP/NTP clock（序列号NBC0081P）：软件版本1.4.4。

4、Triada木马固化植入以全面控制安卓应用

3月研究发现，Triada木马最新变种已被预装入仿冒品牌的安卓固件中，借助固件级多阶段加载器感染Zygote进程，自启动后即可注入每个应用，实现对系统的全面掌控。其模块化架构根据宿主应用动态下载并执行恶意模块：在加密钱包应用中实时篡改提现地址并生成攻击者二维码；在Telegram、WhatsApp、LINE、Skype、Instagram、TikTok等社交和浏览器应用中窃取会话Cookie、令牌与消息，并通过AES／RSA加密的TCP通信与C2保持隐蔽联系。

漏洞预警

1、Dlink Dir-823g_firmware存在OS命令注入漏洞

D-Link DIR-823G是中国友讯（D-Link）公司的一款无线路由器。 D-Link DIR-823G固件1.02B03版本存在安全漏洞，该漏洞源于其HNAP API函数允许攻击者通过精心设计的HNAP1请求实现任意操作系统命令执行。

2、Scratch-wiki Scratch_login存在跨站脚本漏洞

MediaWiki是美国维基媒体（MediaWiki）基金会的一套自由免费的基于网络的Wiki引擎。该产品可用于部署内部的知识管理和内容管理系统。 MediaWiki 1.1版本存在跨站脚本漏洞，该漏洞源于ScratchLogin扩展不会转义验证失败消息，这允许具有管理员权限的用户执行跨站点脚本(XSS)。

3、Dedebiz Dedecmsv6存在SQL注入漏洞

Desdev DedeCMS（织梦内容管理系统）是中国卓卓网络（Desdev）公司的一套基于PHP的开源内容管理系统（CMS）。该系统具有内容发布、内容管理、内容编辑和内容检索等功能。 DedeCMS v6.1.9版本存在SQL注入漏洞，攻击者利用该漏洞可以通过sys_sql_query.php进行SQL注入。

4、Filecloud存在代码注入漏洞

FileCloud是美国FileCloud公司的一个超安全的内容协作平台。提供行业领先的合规性、数据治理、数据泄漏保护、数据保留和数字版权管理功能。 FileCloud 20.2版本及之后版本存在安全漏洞。攻击者利用该漏洞通过特制的HTTP请求远程执行代码并访问API端点。

关于捷普

捷普
作为一家国内先进的新时代网络信息安全产品和服务提供商，坚持以“全面安全 智慧安全”为产品理念，持续技术创新，为广大用户提供
基础设施安全、信创安全、工业互联网安全、云安全、物联网安全、国密安全
等六大系列网络安全产品。并在风险评估、渗透测试等
安全服务
上占据优势，协助用户全面提升IT基础设施的安全性、合规性和生产效能，面向数字时代保障信息系统全面安全。

END