漏洞安全告警
1.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致权限提升,导致远程代码执行。
CNVD收录的相关漏洞包括:Microsoft Office资源管理错误漏洞(CNVD-2025-16943)、Microsoft Excel资源管理错误漏洞、Microsoft Windows资源管理错误漏洞(CNVD-2025-16952、CNVD-2025-16945)、Microsoft Azure DevOps权限提升漏洞、Microsoft Azure Machine Learning权限提升漏洞(CNVD-2025-17136、CNVD-2025-17134)、Microsoft Azure Functions数据伪造问题漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16943
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16942
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16945
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16952
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17134
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17133
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17136
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17142
2.IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过认证用户在Web界面中嵌入恶意脚本,篡改预期功能,可能导致受信任会话中的凭证信息泄露,导致拒绝服务等。
CNVD收录的相关漏洞包括:IBM MQ资源管理错误漏洞、IBM Sterling File Gateway信息泄露漏洞、IBM Sterling B2B Integrator跨站脚本漏洞(CNVD-2025-16975、CNVD-2025-17239)、IBM DB2 for Linux拒绝服务漏洞、IBM Security QRadar Network Threat Analytics资源管理错误漏洞、IBM Storage Virtualize权限提升漏洞、IBM OpenPages with Watson访问控制错误漏洞。其中,“IBM MQ资源管理错误漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16970
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16976
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16975
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17185
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17239
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17238
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17241
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17240
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感内存泄露,提交特殊的文件请求,诱使用户解析,使应用程序崩溃或应用程序上下文执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2025-17110、CNVD-2025-17109)、Adobe ColdFusion代码问题漏洞、Adobe ColdFusion信任管理问题漏洞、Adobe InDesign Desktop数字错误漏洞、Adobe InDesign越界读取漏洞、Adobe InDesign缓冲区溢出漏洞、Adobe InDesign Desktop缓冲区溢出漏洞。其中,“Adobe InDesign Desktop缓冲区溢出漏洞、Adobe ColdFusion代码问题漏洞、Adobe ColdFusion信任管理问题漏洞、Adobe InDesign Desktop数字错误漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17110
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17109
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17116
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17115
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17114
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17117
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17132
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17131
4.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取其他用户的敏感信息,提交特殊的请求,可使服务程序崩溃,造成拒绝服务攻击,执行任意代码等。
CNVD收录的相关漏洞包括:Apache Commons Lang拒绝服务漏洞、Apache Jena输入验证错误漏洞、Apache Guacamole输入验证错误漏洞、Apache Apisix认证绕过漏洞、Apache Tomcat访问控制绕过漏洞、Apache Tomcat拒绝服务漏洞(CNVD-2025-17252)、Apache Tomcat信息泄露漏洞(CNVD-2025-17251)、Apache Commons Configuration资源管理错误漏洞。其中,“Apache Jena输入验证错误漏洞、Apache Tomcat访问控制绕过漏洞、Apache Tomcat拒绝服务漏洞(CNVD-2025-17252)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16960
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16959
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16971
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16969
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16974
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17252
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17251
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17250
5.MRCMS跨站脚本漏洞(CNVD-2025-17130)
本周,MRCMS被披露存在跨站脚本漏洞,受影响的是/admin/user/edit.do文件中的编辑用户页面组件的未知功能。攻击者可利用该漏洞通过操控Username参数可导致跨站脚本攻击。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130
本周重要漏洞攻击验证情况
1.MRCMS跨站脚本漏洞(CNVD-2025-17130)
验证描述
MRCMS是一款内容管理系统,用于管理和发布网站内容。
MRCMS 3.1.3中存在跨站脚本漏洞,受影响的是/admin/user/edit.do文件中的编辑用户页面组件的未知功能。远程攻击者可利用该漏洞通过操控Username参数可导致跨站脚本攻击。
验证信息
POC链接:
https://github.com/bdkuzma/vuln/issues/1
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/3dERb2HjeH80Ppv754rLLA)