漏洞安全告警
1.Siemens产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在设备上执行任意代码或导致拒绝服务等。
CNVD收录的相关漏洞包括:Siemens SCALANCE LPE9403安全绕过漏洞(CNVD-2025-17499、CNVD-2025-17603)、Siemens SCALANCE LPE9403堆栈缓冲区溢出漏洞(CNVD-2025-17502、CNVD-2025-17597)、Siemens SCALANCE LPE9403信息泄露漏洞(CNVD-2025-17598、CNVD-2025-17602)、Siemens SCALANCE LPE9403路径遍历漏洞(CNVD-2025-17601)、Siemens SCALANCE LPE9403操作系统命令注入漏洞(CNVD-2025-17604)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17499
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17502
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17597
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17598
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17601
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17602
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17603
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17604
2.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Word代码执行漏洞(CNVD-2025-17472、CNVD-2025-17471、CNVD-2025-17474、CNVD-2025-17473、CNVD-2025-17475、CNVD-2025-17477、CNVD-2025-17476)、Microsoft SharePoint远程代码执行漏洞(CNVD-2025-17497)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17472
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17471
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17474
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17473
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17475
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17477
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17476
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17497
3.DELL产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取服务器任意文件,提升权限,导致拒绝服务等。
CNVD收录的相关漏洞包括:DELL SmartFabric OS10 Software权限问题漏洞、DELL XtremIO日志信息泄露漏洞、DELL SmartFabric OS10默认密码漏洞、DELL SmartFabric OS10硬编码密码漏洞、DELL PowerProtect DD路径遍历漏洞、DELL NativeEdge信息泄露漏洞(CNVD-2025-1751479)、DELL PowerProtect Data Manager输入验证错误漏洞、DELL Client Platform BIOS弱身份验证漏洞。其中,“DELL SmartFabric OS10默认密码漏洞、DELL SmartFabric OS10硬编码密码漏洞、DELL NativeEdge信息泄露漏洞(CNVD-2025-1751479)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17504
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17503
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17507
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17508
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17512
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17514
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17584
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17583
4.Advantech产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞查看系统上的任意文件,执行代码,导致信息泄露或拒绝服务等。
CNVD收录的相关漏洞包括:Advantech iView CUtils.checkSQLInjection函数SQL注入漏洞、Advantech iView NetworkServlet.archiveTrap函数SQL注入漏洞、Advantech iView跨站脚本漏洞(CNVD-2025-17826、CNVD-2025-17827)、Advantech iView SQL注入漏洞(CNVD-2025-17828、CNVD-2025-17830)、Advantech iView参数注入漏洞、Advantech iView路径遍历漏洞(CNVD-2025-17831)。其中,“Advantech iView CUtils.checkSQLInjection函数SQL注入漏洞、Advantech iView NetworkServlet.archiveTrap函数SQL注入漏洞、Advantech iView SQL注入漏洞(CNVD-2025-17828、CNVD-2025-17830)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17605
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17823
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17826
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17827
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17828
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17829
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17830
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17831
5.TOTOLINK LR350 urldecode函数缓冲区溢出漏洞
本周,TOTOLINK LR350被披露存在缓冲区溢出漏洞,该漏洞源于函数urldecode中的password参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17699
本周重要漏洞攻击验证情况
1.TRENDnet TEW-814DAP堆栈缓冲区溢出漏洞(CNVD-2025-17862)
验证描述
TRENDnet TEW-814DAP是美国趋势网络(TRENDnet)公司的一个无线接入点。
TRENDnet TEW-814DAP存在堆栈缓冲区溢出漏洞,该漏洞源于/formSysLog处的submit-url参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞使缓冲区溢出并导致拒绝服务。
验证信息
POC链接:
https://github.com/s4ndw1ch136/IOT-vuln-reports/blob/main/TRENDnet/TEW-814DAP/formSysLog/README.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17862
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/2QPvmcpcsU_0YMCawYOjPA)