漏洞安全告警
1.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。
CNVD收录的相关漏洞包括:Adobe InCopy堆缓冲区溢出漏洞(CNVD-2025-18931、CNVD-2025-18932、CNVD-2025-18933)、Adobe InCopy越界写入漏洞(CNVD-2025-18934、CNVD-2025-18935、CNVD-2025-18936、CNVD-2025-18937)、Adobe InCopy内存错误引用漏洞(CNVD-2025-18938)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18931
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18932
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18933
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18934
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18935
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18936
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18937
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18938
2.Microsoft产品安全漏洞
本周,上述产品被披露存在代码执行漏洞,攻击者可利用漏洞在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Word代码执行漏洞(CNVD-2025-18817、CNVD-2025-18826)、Microsoft Excel代码执行漏洞(CNVD-2025-18819、CNVD-2025-18820、CNVD-2025-18823、CNVD-2025-18822、CNVD-2025-18821)、Microsoft Office代码执行漏洞(CNVD-2025-18818)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18817
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18819
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18818
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18820
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18823
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18822
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18821
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18826
3.Zoom产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,导致信息泄露,导致拒绝服务等。
CNVD收录的相关漏洞包括:Zoom Clients for Windows缓冲区溢出漏洞、Zoom Clients for iOS信息泄露漏洞、Zoom Workplace Apps缓冲区溢出漏洞、Zoom Workplace Apps堆缓冲区溢出漏洞、Zoom Workplace App for Linux拒绝服务漏洞、Zoom Workplace拒绝服务漏洞、Zoom Workplace缓冲区溢出漏洞、Zoom Workplace App for iOS拒绝服务漏洞。其中,除“Zoom Clients for Windows缓冲区溢出漏洞、Zoom Workplace缓冲区溢出漏洞、Zoom Workplace App for iOS拒绝服务漏洞” 外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19090
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19089
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19098
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19097
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19099
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19113
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19116
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19114
4.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取数据库敏感信息,在受害者的浏览器中执行javascript,导致拒绝服务等。
CNVD收录的相关漏洞包括:Apache Superset信息泄露漏洞(CNVD-2025-19102)、Apache Superset授权问题漏洞(CNVD-2025-19101)、Apache Superset SQL注入漏洞(CNVD-2025-19100)、Apache Tomcat授权问题漏洞(CNVD-2025-19105)、Apache bRPC拒绝服务漏洞、Apache Superset跨站脚本漏洞(CNVD-2025-19103)、Apache JSPWiki Image插件跨站脚本漏洞、Apache Tomcat拒绝服务漏洞(CNVD-2025-19106)。其中,“Apache Tomcat授权问题漏洞(CNVD-2025-19105)、Apache bRPC拒绝服务漏洞、Apache Tomcat拒绝服务漏洞(CNVD-2025-19106)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19102
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19101
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19100
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19105
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19104
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19103
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19107
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19106
5.D-Link DIR-825缓冲区溢出漏洞
本周,D-Link DIR-825被披露存在缓冲区溢出漏洞,该漏洞源于文件ping_response.cgi中参数ping_ipaddr的错误操作,攻击者可利用该漏洞通过损坏内存,使系统崩溃,中断服务运行。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19233
本周重要漏洞攻击验证情况
1.Tenda AC20命令注入漏洞
验证描述
Tenda AC20是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC20存在命令注入漏洞,该漏洞源于/goform/telnet文件中websFormDefine函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
验证信息
POC链接:
ps://www.exploit-db.com/exploits/52418
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19109
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/N_WAhWvO4L4eHeEEDGo0Vw)