关键漏洞信息 1. 漏洞概述 CVSS v4: 8.7 注意: 可远程利用/攻击复杂度低 厂商: Johnson Controls Inc. 设备: - iSTAR Ultra: 版本 6.9.7.CU01 之前 - iSTAR Ultra SE: 版本 6.9.7.CU01 之前 - iSTAR Ultra G2: 版本 6.9.3 之前 - iSTAR Ultra G2 SE: 版本 6.9.3 之前 - iSTAR Edge G2: 版本 6.9.3 之前 2. 漏洞详情 漏洞类型: OS 命令中对特殊元素的不当中和 (CWE-78) CVE 编号: CVE-2025-43875 和 CVE-2025-43876 CVSS 评分: 8.8 (v3.1) 和 8.7 (v4) 影响: 成功利用这些漏洞可能导致对设备的未授权访问 3. 漏洞背景 关键基础设施部门: 商业设施、关键制造、能源、政府设施、运输系统 部署国家/地区: 全球 公司总部位置: 爱尔兰 4. 缓解措施 厂商建议: - 升级 iSTAR Ultra 和 iSTAR Ultra SE 至版本 6.9.7.CU01 或更高 - 升级 iSTAR Ultra G2、iSTAR Ultra G2 SE 和 iSTAR Edge G2 至版本 6.9.3 或更高 CISA 建议: - 最小化所有控制系统设备和系统的网络暴露,确保它们不直接从互联网访问 - 将控制系统网络和远程设备置于防火墙之后,并与业务网络隔离 - 当需要远程访问时,使用更安全的方法,如虚拟专用网络 (VPN),并确保更新到最新版本 5. 更新历史 2025年12月11日: 初始发布 Johnson Controls JCI-PSA-2025-14 和 JCI-PSA-2025-15 6. 相关公告 National Instruments LabView Inductive Automation Ignition Mitsubishi Electric Iconics Digital Solutions 和 Mitsubishi Electric Products Schneider Electric EcoStruxure Foxboro DCS Advisor