网安动向热讯,本期有八点值得关注:一是工信部、国家标准委联合印发《国家智能制造标准体系建设指南(2024版)》;二是中央网信办等四部门印发《2025年提升全民数字素养与技能工作要点》;三是美NIST计划推出人工智能网络安全框架,以应对新型攻击;四是美IARPA启动人工智能网络安全新计划,聚焦大语言模型安全;五是美CISA联合多部门开展关键设施网络演练;六是美总统特朗普签署行政令,将人工智能纳入美国课堂;七是欧盟拟修订资助计划,加快人工智能和网络安全等国防技术的开发和部署;八是美苹果公司和元宇宙平台公司因违反《数字市场法案》,分别遭5亿欧元和2亿欧元罚款。
数据前沿快讯,本期有四点值得关注:一是国家数据局公布2025年四大工作要点,涉及数据产权、数据要素流通和交易等;二是国家数据局发布《数字中国发展报告(2024年)》;三是中国气象局、国家数据局联合构建“气象数据要素×能源”深度融合示范场景;四是蚂蚁集团等16家互联网平台签署网络数据安全自律公约。
网安事件聚焦,本期有两方面内容建议关注:一是以美为首的西方国家对我国关键领域持续进行网络攻击。本期介绍:美情报机构利用网络攻击中国大型商用密码产品提供商;我国境内捕获“银狐”木马病毒变种;亲俄黑客组织NoName对德国发动DDoS攻击;俄罗斯士兵作战规划APP被植入后门,专门窃取通信、位置等信息;马来西亚多家券商系统遭境外攻击,大量交易账户被操纵买卖股票。二是电信运营商频遭网络攻击,导致大规模数据泄露。本期介绍:日本大型电信公司IIJ遭未经授权访问,导致逾407万账户信息被泄露;南非电信巨头Cell C遭勒索软件组织攻击,导致2TB的用户敏感数据泄露;韩国电信巨头SK遭恶意软件攻击,客户敏感数据疑遭泄露;美知名医疗系统遭网络攻击,导致550万患者敏感信息被泄露。
网安风险警示,本期有五点建议关注:一是SAP公司紧急修复位于NetWeaver中的远程代码执行漏洞;二是华硕修复严重的AMI漏洞;三是数据保护平台Commvault的企业级备份与数据管理解决方案存在严重漏洞;四是开源内容管理系统Craft CMS存在安全漏洞;五是中国台湾公司Planet Technology生产的工业交换机和网络管理产品中存在多个严重漏洞。
一、网安动向热讯
(一)工信部、国家标准委联合印发《国家智能制造标准体系建设指南(2024版)》
4月26日消息,工信部、国家标准委联合编制印发了《国家智能制造标准体系建设指南(2024版)》。《指南》安全标准主要包括功能安全、网络安全、数据安全等3个部分。其中,功能安全标准主要包括智能制造中功能安全系统的设计、实施、测试等标准。网络安全标准指以确保智能制造中相关终端设备、控制系统、工业互联网平台、边缘计算、工业数据等可用性、机密性、完整性为目标的标准,重点包括企业网络安全分类分级管理、安全管理、安全成熟度评估和密码应用等标准。数据安全标准主要包括工业数据质量管理、加密、脱敏及风险评估等标准。指南提出,到2026年,制修订100项以上国家标准、行业标准,构建适应新型工业化发展的智能制造标准体系。(信息来源:工信部官网)
(二)中央网信办等四部门印发《2025年提升全民数字素养与技能工作要点》
4月27日,中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2025年提升全民数字素养与技能工作要点》。《工作要点》部署了6个方面16项重点任务。一是健全数字人才培育体系,包括培养复合型人工智能人才、完善高水平人才培育体系、壮大应用型技能人才队伍、增强劳动者数字工作能力。二是拓展数字经济增长空间,包括释放数字消费潜力、激发企业数字动能。三是构建普惠包容数字社会,包括推进数字助老助残行动、促进教学资源开放共享、实施数字公益志愿项目。四是打造智慧便捷数字生活,包括强化人工智能应用赋能、丰富新型数字应用场景。五是营造安全有序数字环境,包括健全人工智能治理机制、强化法治道德规范意识、筑牢网络安全防护屏障。六是完善协同联动工作格局,包括深化多方协作机制、加强国际交流合作。(信息来源:中国网信网)
(三)工信部就《云计算综合标准化体系建设指南(2025版)(征求意见稿)》公开征求意见
4月26日消息,工信部就《云计算综合标准化体系建设指南(2025版)》(征求意见稿)公开征求意见,意见反馈截止日期为5月22日。《指南》中云计算产业主要涉及硬件、软件、服务、应用、网络和安全等6个部分。其中,硬件主要包括服务器、存储设备、网络设备、数据中心装备和使用云服务的终端设备;软件主要包括基础软件、云资源管控系统、云平台软件和应用软件;服务主要包括向客户提供的各类云服务,以及面向云计算系统建设应用全过程的生命周期管理服务;应用主要涉及重点行业领域的云计算整体解决方案;云网络主要包括云内、云间的网络连接;云安全主要涉及网络安全、数据安全、信息安全、系统安全、服务安全和应用安全。指南提出,到2027年,新制定云计算国家标准30项以上,开展标准宣贯和设施推广的企业超过1000家,加快云计算领域国际标准供给,进一步提升标准国际影响力。(信息来源:工信部官网)
(四)《网络安全技术 SM2密码算法加密签名消息格式(征求意见稿)》等9项国家标准公开征求意见
4月27日,全国网络安全标准化技术委员会归口的《网络安全技术 SM2密码算法加密和签名消息格式》等9项国家标准现已形成标准征求意见稿,现面向社会公开征求意见,意见截止反馈日期为6月24日。9项标准包括《网络安全技术 SM2密码算法加密和签名消息格式》《网络安全技术 密码应用标识》《网络安全技术 二元序列随机性检测方法》《网络安全技术 SM9密码算法加密签名消息格式》《网安安全技术 秘密分享技术机制》《网络安全技术 量子密钥分发的安全要求、测试和评估方法 第1部分》《网络安全技术 量子密钥分发的安全要求、测试和评估方法 第2部分:测试和评估方法》《网络安全技术 具有中央处理器的IC卡芯片安全规范》《网络安全技术 移动终端安全技术规范》。(信息来源:全国网络安全标准化技术委员会)
(五)美NIST计划推出人工智能网络安全框架,以应对新型攻击
4月28日消息,美国家标准与技术研究院(NIST)透露,该机构正加速开发“网络人工智能配置文件”,计划未来6个月内发布框架草案,旨在帮助关键基础设施抵御人工智能驱动的网络威胁。该框架将针对深度伪造、精准钓鱼邮件及自动化漏洞挖掘等新型攻击手段,从风险分类、防御策略和隐私保护三大维度建立管理标准,填补人工智能与网络安全交叉领域术语体系空白。美NIST已发布概念文件并完成首次公开研讨,后续将整合行业反馈形成公开草案。(信息来源:启元洞见)
(六)美IARPA启动人工智能网络安全新计划,聚焦大语言模型安全
4月24日消息,美情报高级研究计划局(IARPA)局长里克·穆勒表示,将大语言模型列为下一代人工智能网络安全研究核心方向,重点涵盖识别训练数据偏差引发的安全漏洞、防范提示词攻击导致的机密泄露和抑制模型幻觉三大领域。该计划将整合TrojAI项目(2019年启动的多模态人工智能防木马技术)成果,强化跨图像分类与自然语言处理的安全防护体系。IARPA此前已联合NIST于2023年9月发起人工智能训练数据防篡改挑战赛,持续构建人工智能安全技术壁垒。(信息来源:全球技术地图)
(七)美CISA联合多部门开展关键设施网络演练
4月25日消息,美网络安全与基础设施安全局(CISA)联合美国土安全部、爱达荷国家实验室(INL)在路易斯安那州立大学(LSU)开展运营技术网络攻防演练,模拟真实工业控制系统攻击场景。作为首所参与控制环境实验室资源中心(CELR)项目的高校,LSU将于今秋部署专属石油天然气CELR平台,培养海湾地区网络安全人才。三方合作同步建立INL与LSU的联合研发机制及实习生计划,强化关键基础设施防护体系。美CISA官员指出,面对国家背景攻击者的持续威胁,此类公私协作对提升国家网络韧性具有战略意义。(信息来源:启元洞见)
(八)美总统特朗普签署行政令,将人工智能纳入美国课堂
4月26日消息,美总统特朗普签署一项行政命令,旨在将人工智能纳入美国课堂。虽然该行政令的具体文本尚未公布,但《华盛顿邮报》获得的草案副本显示,该行政令要求开展学生人工智能应用能力培训,并推动学校与企业合作实施相关教学计划。该行政令将指示美教育部长琳达·麦克马洪优先使用联邦资金,培训教师和管理人员如何应用人工智能,并将其纳入所有学科教学。美政府将成立一个人工智能教育工作组,鼓励联邦机构与私营部门合作,目标是教授学生“基本的人工智能素养和批判性思维技能”。(信息来源:财联社)
(九)特朗普政府施压欧盟放弃人工智能监管新规
4月27日消息,特朗普政府通过驻欧盟使团,在过去几周内向欧盟委员会及多个欧洲国家政府发函,施压放弃正在制定的人工智能行为准则。该准则虽为自愿,但与欧盟《人工智能法案》挂钩,违规最高可处以7%年收入罚款、开发者3%罚金及更严格监管。美方称规定超出法律范围、过于繁重,称其为“税收”,并要求暂停该法多阶段实施,同时提供技术专家协助。欧盟委员会发言人已确认收函。该准则由科技企业、版权方和民间代表在欧盟委员会牵头下起草,最终版本将于下月公布。(信息来源:彭博社)
(十)欧盟拟修订资助计划,加快人工智能和网络安全等国防技术的开发和部署
4月25日消息,欧盟委员会提出一项对现有欧盟资助计划进行新的有针对性的修订建议,以在欧盟预算范围内刺激国防相关投资,加强其《2030国防战备计划》,并实施《重新武装欧洲计划》。该提案具体包括:扩大“欧洲战略技术平台”的范围,以涵盖国防技术和产品;通过“地平线欧洲”计划,加快人工智能和网络安全等尖端军民两用和国防技术的开发和部署;将《数字欧洲计划》扩展至军民两用的应用,支持开发和运营人工智能超级工厂;改革“连接欧洲基金”(CEF)加强对军事机动性和军民两用数字基础设施的支持,扩展CEF数字项目,以支持云技术、人工智能和5G系统等军民两用数字能力。(信息来源:欧盟委员会)
(十一)美苹果公司和元宇宙平台公司因违反《数字市场法案》,分别遭5亿欧元和2亿欧元罚款
4月23日,欧盟委员会发布公报,认定美苹果公司和元宇宙平台公司违反《数字市场法案》,对两家公司分别处以5亿欧元和2亿欧元罚款。声明称,苹果公司在其应用商店中限制应用开发者引导用户使用第三方渠道,剥夺了用户获取替代优惠服务的权利。苹果公司未能证明相关限制具有必要性,欧盟要求其立即解除相关限制,并不得再采取具有类似效果的做法。元宇宙平台公司2023年在欧盟地区推出“同意或付费”模式,要求其旗下脸书和照片墙用户要么同意将个人数据整合用于接收个性化广告,要么支付月费以使用无广告版本服务。欧盟认为这一模式不符合相关法律要求,因此作出处罚决定。声明称,上述公司如未在60天内落实整改,可能面临进一步罚款。(信息来源:新华社)
二、数据前沿快讯
(十二)国家数据局公布2025年四大工作要点,涉及数据产权、数据要素流通和交易等
4月28日消息,国家数据局印发构建数据基础制度更好发挥数据要素作用2025年工作要点。工作要点落实“数据二十条”任务部署,一是建立保障权益、合规使用的数据产权制度方面,加快数据产权制度建设进度,推进公共数据、企业数据、个人数据确权授权使用,通过数据要素综合试验区开展基础制度试验探索,积极参与数据产权领域国际规则制定。二是建立合规高效、场内外结合的数据要素流通和交易制度方面,完善数据市场规则体系,制定数据流通交易标准示范合同、促进数据交易机构高质量发展的政策文件,鼓励各类主体扩大数据需求、加强数据供给,支持培育多类型数据市场主体,完善数据市场基础设施建设。三是建立体现效率、促进公平的数据要素收益分配制度方面,推进数据市场化价值化、建立健全公共数据价格管理制度、营造公平市场环境。四是建立安全可控、弹性包容的数据要素治理制度方面,推动《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》落地落实,逐步构建更加完善的数据流通安全治理体系,支持数据流通安全技术应用创新,依法依规培育数据流通安全服务市场。下一步,国家数据局将会同有关单位抓好各项任务落实,发挥数据基础制度在推进数据要素市场化配置改革中的保障作用,推动解决“供得出”“流得动”“用得好”“保安全”的卡点堵点问题,充分激活数据要素潜能。(信息来源:国家数据局)
(十三)国家数据局发布《数字中国发展报告(2024年)》
4月29日消息,国家数据局会同有关单位系统总结2024年数字中国建设重要进展和工作成效,编制形成《数字中国发展报告(2024年)》。《报告》提出,2024年数字中国建设总体呈现发展基础进一步夯实、赋能效应进一步强化、数字安全和治理体系进一步完善、数字领域国际合作进一步深化等四方面特点。《报告》指出,数字安全和治理体系进一步完善,出台《网络数据安全管理条例》,印发《促进和规范数据跨境流动规定》。车联网安全治理形成“检测—防护—管理”闭环。数据标准化工作迈出坚实步伐,成立全国数据标准化技术委员会,发布《国家数据标准体系建设指南》。《报告》显示,以“构建网络空间命运共同体”为遵循,多双边数字经济合作稳步推进,数据跨境流动便利化水平持续提升。下一步,国家数据局将继续携手各有关方面,坚持数据要素市场化配置改革这条主线,更好统筹数字中国、数字经济、数字社会规划和建设,加快培育发展新质生产力,推动数字中国建设迈出新步伐。(信息来源:国家数据局)
(十四)中国气象局、国家数据局联合构建“气象数据要素×能源”深度融合示范场景
4月26日消息,中国气象局和国家数据局联合开展气象数据助力能源产业提质增效示范场景建设。两部门将遴选政策支撑环境良好、数据治理基础扎实、市场主体生态活跃、具备配套资金支持的地区,构建“气象数据要素×”能源供应链、产业链深度融合场景,打造一批可操作、能落地的能源气象数据资源开发利用模式,形成示范带动效应。两部门工作重点将放在提升能源服务数据支撑能力和探索能源气象数据产品价值释放机制等方面。强化各类数据资源采集汇聚、计算存储、流通交易、开发利用、安全治理规范化管理;加强能源气象数据资源登记、授权运营、收益分配机制,营造公平竞争的市场环境;根据国家政策、市场变化和社会需求,适时优化数据治理和收益分配相关政策。(信息来源:国家数据局)
(十五)蚂蚁集团等16家互联网平台签署网络数据安全自律公约
4月27日消息,在第二届武汉网络安全创新论坛个人信息保护分论坛上,蚂蚁集团、阿里巴巴、美团、腾讯、360、百度和科大讯飞等16家平台型企业共同签署了《网信企业网络数据安全自律公约》,旨在积极落实数据安全和个人信息保护责任,提升网络数据安全风险管理水平。在《网络数据安全管理条例》落地的大背景下,自律公约的签订是为推动成员单位积极履行社会责任,利用网络安全保险等新工具,帮助各自生态内的数据合作方加强网络数据安全防护能力建设,促进网络数据开发利用和产业发展。成员单位承诺将加强数据合作方准入管理、完善数据合作方安全管理等。(信息来源:新华网)
三、网安事件聚焦
(十六)美情报机构利用网络攻击中国大型商用密码产品提供商
4月28日消息,2024年,国家互联网应急中心发现处置一起美情报机构对中国大型商用密码产品提供商网络攻击事件。一是网络攻击流程。攻击者利用该公司客户关系管理系统漏洞入侵该公司管理系统,并植入特种木马程序来执行任意网络攻击命令,同时通过特征字符串编码、加密、压缩等一系列复杂处理逃避监测。2024年3月至9月,攻击者用14个境外跳板IP连接特种木马程序并窃取客户关系管理系统中的数据量达950MB。2024年5月至7月,攻击者用3个境外跳板IP攻击该公司的代码管理系统,累计窃取数据量达6.2GB。二是攻击行为特点。通过对xxx.php特种木马程序的逆向分析发现,攻击武器与美情报机构前期使用的攻击武器具有明确同源关系;攻击时间主要集中在北京时间22时至次日8时,相对于美国东部时间为10时至20时;攻击者使用的17个攻击IP完全不重复,同时可秒级切换攻击IP,攻击IP位于荷兰、德国和韩国等地,反映出其高度的反溯源意识和丰富的攻击资源储备;攻击者善于利用开源或通用工具伪装躲避溯源,例如在客户关系管理系统中还发现了攻击者临时植入的2个常见网页木马,同时善于通过删除日志和木马程序,隐藏自身攻击行为。(信息来源:中国网络空间安全协会)
(十七)我国境内捕获“银狐”木马病毒变种
4月25日消息,国家计算机病毒应急处理中心依托国家计算机病毒协同分析平台在我国境内连续捕获一系列针对我国网络用户,特别是财务和税务工作人员用户的木马病毒。病毒文件名称与2025年“税务稽查”“所得税汇算清缴”“放假安排”等诱饵主题相关,实际为恶意可执行程序,均针对Windows平台用户,主要通过社交媒体中转发的钓鱼网页链接进行传播。经分析发现这些病毒均为“银狐”家族木马病毒变种,如用户运行相关恶意程序文件,将被攻击者实施远程控制、窃密、挖矿等恶意操作,并可能被利用充当进一步实施电信网络诈骗活动的“跳板”。国家安全机构建议用户保持对各类电信网络诈骗活动的警惕性和防范意识。(信息来源:中国新闻网)
(十八)亲俄黑客组织NoName对德国发动DDoS攻击
4月25日,亲俄黑客组织Noname057(16)正在加大对德国的DDoS攻击力度,给德国多领域带来网络安全威胁。该黑客组织宣称已对德国多家重要机构和企业网站发动攻击,受攻击对象涵盖金融、农业、制造业等多个行业,包括德国大型国有银行巴伐利亚州银行、全球性企业BayWa AG、机场班车制造商COBUS Industries以及铝合金生产商Aluminium Rheinfelden Alloys等,还在Telegram上宣称这些组织网站已被下线。该黑客组织攻击范围不仅限于企业,还涉及汉诺威、杜塞尔多夫、莱比锡、柏林和法兰克福科隆等多个城市的市政府网站。(信息来源:CyberNews网)
(十九)俄罗斯士兵作战规划APP被植入后门,专门窃取通信、位置等信息
4月27日消息,俄罗斯网络安全公司Doctor Web的研究人员发现一款新型安卓恶意软件伪装成Alpine Quest地图。Alpine Quest是一款合法的安卓GPS与地形图绘制应用,广泛应用于探险者、运动员、搜救人员及军队之中,俄罗斯士兵经常使用该应用进行战区作战规划。研究人员称该恶意软件隐藏于一个完整可运行的Alpine Quest应用中,一旦运行,就会向攻击者发送用户的手机号码、联系人、地理位置、文件信息及应用版本;实时监控用户位置变动,并通过Telegram机器人发送更新;下载额外模块以窃取机密文件;搜索Alpine Quest应用中的“locLog”文件等。Doctor Web建议用户避免从非官方渠道下载应用。目前尚未确定此次攻击的幕后组织。(信息来源:FreeBuf网)
(二十)马来西亚多家券商系统遭境外攻击,大量交易账户被操纵买卖股票
4月27日消息,马来西亚部分投资者的交易账户遭黑客入侵,并被用于在当地证券交易所进行未经授权的股票买卖。马来西亚证券交易所表示,目前正确认事件的影响范围,资本市场监管机构正与券商紧密合作处理此事。据一位股票经纪业内人士透露,相关IP地址显示,黑客攻击主要源自海外,被入侵的账户大多未启用预授权的互联网交易功能,系统漏洞主要出现在券商系统本身,而非投资者的个人登录凭证。该国股票经纪直通市场接入平台服务商建议其客户屏蔽已识别的高风险IP地址,以及对非马来西亚IP实施地域封锁。(信息来源:安全内参)
(二十一)日本大型电信公司IIJ遭未经授权访问,导致逾407万账户信息被泄露
4月21日消息,提供电子邮件安全服务等业务的日本大型电信公司IIJ确认,自2024年8月3日及之后,IIJ Secure MX Service的服务基础设施遭未经授权访问,并执行了恶意程序。因此,与该服务相关的电子邮件通信和身份验证信息可能已被泄露,包括6493份合同和所有客户电子邮件账户(约407万个)。IIJ是日本第一家网络服务提供商,其业务涉及网络服务、增值外包服务、云计算、广域网服务和系统集成服务。目前已确定未经授权访问路径并实施隔离措施,服务现已安全运行,公司将继续调查事件原因及影响程度,并为受影响客户提供个性化指导。(信息来源:数安行)
(二十二)南非电信巨头Cell C遭勒索软件组织攻击,导致2TB的用户敏感数据泄露
4月22日消息,南非第四大电信运营商Cell C确认其在2024年遭RansomHouse勒索软件组织攻击,导致2TB的用户敏感数据泄露,包括姓名、身份证号、银行账户、医疗记录及护照详情等。目前Cell C已启动应急响应,联合网络安全专家加固系统,通报监管机构,并向受影响用户提供反钓鱼和信用保护指南。Cell C主要提供预付费和后付费移动套餐、数据包和互联网服务、光纤宽带、漫游和国际通话等业务。(信息来源:启明星辰)
(二十三)韩国电信巨头SK遭恶意软件攻击,客户敏感数据疑遭泄露
4月26日消息,韩国最大移动运营商SK Telecom发布安全通告,警告用户因遭恶意软件攻击,可能导致客户敏感USIM相关数据被泄露。USIM数据包含国际移动用户识别码、移动站ISDN号码、认证密钥、网络使用数据等信息。该公司表示,在检测到系统中的恶意软件并发现数据可能被泄露时迅速隔离疑似遭攻击的设备,同时上报韩国互联网与安全局和韩国个人信息保护委员会。目前调查正在进行中,尚未确定入侵的确切原因、规模或范围。SK Telecom表示截至目前尚未发现泄露信息被实际滥用的案例,建议用户通过其门户网站注册USIM保护服务,启用后可阻止手机号码被转移到其他SIM卡,同时向需要额外安全措施的客户提供免费SIM卡保护服务。(信息来源:IT之家)
(二十四)美知名医疗系统遭网络攻击,导致550万患者敏感信息被泄露
4月25日消息,耶鲁纽黑文健康系统(YNHHS)发布声明,称此前发生的网络攻击导致超550万名患者个人信息泄露,包括姓名、出生日期、种族/民族、家庭住址电话号码、电子邮箱社会安全号码等,但不包含财务信息、医疗记录或治疗细节。YNHHS是总部位于康涅狄格州纽黑文的非营利性医疗网络,现为美国该州最大医疗系统,运营超过360个医疗点,拥有约30000名医疗专业人员。目前,YNHHS已在网络安全公司的协助下展开调查,确认有未经授权的第三方侵入网络,并于3月8日获取了特定数据副本。目前尚无勒索软件组织宣称对此次事件负责。(信息来源:安全威胁纵横)
四、网安风险警示
(二十五)SAP公司紧急修复位于NetWeaver中的远程代码执行漏洞
4月27日消息,全球领先的企业应用软件提供商SAP紧急修复远程代码执行漏洞CVE-2025-31324(CVSS评分10)。该漏洞位于SAP NetWeaver Visual Composer的Metadata Uploader组件中,由于系统未正确检查访问元数据上传器功能的用户权限,缺乏适当身份验证和授权,未认证的攻击者可滥用内置功能将任意文件上传到一个SAP NetWeaver实例中,即实现完整的远程代码执行以及完全攻陷系统。调查发现有SAP NetWeaver应用服务器Java系统中50%至70%存在该漏洞。SAP公司回应称,该漏洞已遭利用,但未发现SAP客户数据或系统受影响,目前已发布补丁,建议用户立即更新。(信息来源:代码卫士)
(二十六)华硕修复严重的AMI漏洞
4月25日消息,华硕修复严重漏洞CVE-2024-54085(CVSS评分10)。本地或远程攻击者可通过访问远程管理界面或BMC界面的内部主机利用该漏洞,远程控制受陷服务器、部署恶意软件、固件篡改、还可能造成服务器物理损坏及受害者无法停止的重启循环。该漏洞影响安迈科技公司的MegaRAC BMC软件,该软件用于超过12家服务器硬件厂商。目前,华硕已为受该漏洞影响的四款主板模型发布修复方案,鉴于该漏洞严重性高且可被远程利用,建议用户应尽快更新固件。(信息来源:代码卫士)
(二十七)数据保护平台Commvault的企业级备份与数据管理解决方案存在严重漏洞
4月25日,数据保护平台Commvault的企业级备份与数据管理解决方案Command Center中存在严重漏洞CVE-2025-34028(CVSS评分9.0),由于deployWebpackage.do Web接口组件未对外部服务器进行有效验证,使其易遭预认证服务器端请求伪造攻击。攻击者可利用该漏洞发送特制ZIP压缩包,通过精心设计请求参数,将恶意文件转移至可公开访问位置并远程执行任意代码,进而获取系统完全控制权。目前,Commvault已在版本11.38.20和11.38.25成功修复该漏洞,建议用户及时更新。(信息来源:HackRead网)
(二十八)开源内容管理系统Craft CMS存在安全漏洞
4月27日消息,Orange Cyberdefense公司研究人员发现Craft CMS中存在两个漏洞CVE-2025-32432和CVE-2024-58136,一个是位于Craft CMS中的RCE漏洞,另一个是位于Craft CMS所用的Yii框架中的输入验证漏洞。攻击者可组合利用上述漏洞攻陷服务器并上传一个PHP文件管理器,从而进一步攻陷系统。目前,官方已在版本3.9.15、4.14.15和5.6.17中修复漏洞,建议用户及时更新。(信息来源:代码卫士)
(二十九)中国台湾公司Planet Technology生产的工业交换机和网络管理产品中存在多个严重漏洞
4月29日消息,美CISA发布安全公告,称中国台湾公司Planet Technology生产的UNI-NMS-Lite、NMS-500和NMS-1000V网络管理系统、以及WGS-804HPT-V2和WGS-4215-8T25交换机中存在多个严重漏洞,可被远程未认证的攻击者用于获取受影响产品的管理员权限(通过硬编码凭据)、利用认证缺失创建管理员账号以及通过命令注入执行OS命令、或者读取/操纵设备数据。受影响设备用于全球各地,包括一些关键制造行业。美CISA表示暂未发现上述漏洞遭在野利用情况。Planet Technology公司已修复上述漏洞,建议用户及时更新。(信息来源:代码卫士)
转载声明:本文转载自国家信息技术安全研究中心网站网络空间安全动态。原文标题为《网络空间安全动态257期》。本转载旨在分享和交流,如有侵权或不当之处,请及时联系我们删除。
