Johnson Controls 多款产品曝高危漏洞，可遭远程 SQL 注入攻击

一份最新安全公告披露，Johnson Controls 旗下多款工业控制系统（ICS）产品存在一个严重的SQL注入漏洞。

该漏洞编号为CVE-2025-26385，其通用漏洞评分系统（CVSS v3）的严重性评分达到满分10.0，意味着对受影响基础设施构成最高级别的风险。

漏洞成因是命令注入中特殊元素的中和处理不当，远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后，可篡改、删除或窃取受影响系统中的敏感数据。

该漏洞影响Johnson Controls  6 款产品，这些产品在全球关键基础设施领域广泛部署。该公司产品部署于商业楼宇、关键制造、能源生产、政府运营及交通系统等多个关键行业。由于这家总部位于爱尔兰的公司在全球范围内业务众多，此次漏洞引发全球性关注。

美国网络安全和基础设施安全局（CISA）建议各组织采取以下防御措施以降低风险：控制系统网络必须与公网隔离，部署在防火墙后方，且与业务网络基础设施实现物理隔离

受影响产品范围
该漏洞影响以下应用产品：

确需远程访问的机构，应部署搭载最新安全补丁的虚拟专用网络（VPN），同时需明确 VPN 安全性依赖于接入设备的完整性。对于无法立即打补丁的老旧系统，网络分段与物理隔离是核心防护手段。

截至2026年1月27日该公告发布之日，CISA尚未监测到该漏洞在野利用的公开报告。但鉴于该漏洞的高危等级及产品的广泛部署，系统管理员及安全团队需立即重点关注。

这份编号为 ICSA-26-027-04 的公告，是Johnson Controls 初始安全公告 JCI-PSA-2026-02 的重新发布版本。观察到任何可疑活动的组织，应向CISA报告，以便进行事件关联分析和全局威胁追踪。

此次漏洞由Johnson Controls 主动报告给CISA，遵循了协调披露流程，为安全团队在潜在攻击发生前争取了应对时间。各机构在部署防护措施前，应优先开展影响分析与风险评估，避免造成业务运营中断。