漏洞安全告警
1.F5产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击,通过向流量组的备用BIG-IP系统发送特定构造的未公开协议请求(如畸形的TCP会话包或异常信令),触发流量管理微内核(TMM)的解析异常,导致其进程强制终止等。
CNVD收录的相关漏洞包括:F5 BIG-IP PEM拒绝服务漏洞、F5 BIG-IP HTTP/2配置文件拒绝服务漏洞、F5 BIG-IP HTTP/2 httprouter配置文件拒绝服务漏洞、F5 BIG-IP APM PingAccess虚拟服务器拒绝服务漏洞、F5 BIG-IP缓冲区溢出漏洞、F5 BIG-IP SCTP服务拒绝漏洞、F5 BIG-IP HTTP配置文件拒绝服务漏洞、F5 BIG-IQ跨站脚本漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20722
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20725
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20724
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20723
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20728
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20727
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20726
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20730
2.SAP产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致访问内部文件,通过注入精心设计的有效载荷执行任意Web脚本或HTML,构造包含恶意脚本的URL,诱使具有活跃会话的用户执行,从而可能导致数据访问受限或被篡改,执行任意OS命令等。
CNVD收录的相关漏洞包括:SAP Supplier Relationship Management跨站脚本漏洞(CNVD-2025-21206)、SAP NetWeaver反序列化漏洞、SAP NetWeaver Application Server Java访问控制错误漏洞(CNVD-2025-21204)、SAP Fiori App Manage Work Center Groups跨站请求伪造漏洞、SAP NetWeaver Application Server ABAP HTML注入漏洞、SAP NetWeaver Application Server for ABAP跨站脚本漏洞(CNVD-2025-21207)、SAP NetWeaver ABAP Platform跨站脚本漏洞(CNVD-2025-21203、CNVD-2025-21209)。其中,“SAP NetWeaver反序列化漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21206
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21205
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21204
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21203
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21202
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21209
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21208
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21207
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致内存暴露,获取敏感信息,导致任意代码执行等。
CNVD收录的相关漏洞包括:Adobe After Effects越界读取漏洞(CNVD-2025-21150、CNVD-2025-21149、CNVD-2025-21151)、Adobe Experience Manager输入验证错误漏洞(CNVD-2025-21156、CNVD-2025-21165)、Adobe Experience Manager XML实体注入漏洞(CNVD-2025-21172)、Adobe Experience Manager代码执行漏洞、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-21155)。其中,“Adobe Experience Manager XML实体注入漏洞(CNVD-2025-21172)、Adobe Experience Manager代码执行漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21150
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21149
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21151
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21156
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21155
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21165
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21172
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21173
4.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致日志解析错误,导致跨站脚本攻击,权限提升等。
CNVD收录的相关漏洞包括:Apache StreamPark SQL注入漏洞、Apache Log4cxx输入验证错误漏洞(CNVD-2025-20868)、Apache Log4cxx跨站脚本漏洞、Apache Apisix权限提升漏洞(CNVD-2025-20873)、Apache Jena路径遍历漏洞、Apache OFBiz代码执行漏洞(CNVD-2025-20870)、Apache CloudStack权限提升漏洞(CNVD-2025-20874、CNVD-2025-20875)。其中,除“Apache Log4cxx跨站脚本漏洞、Apache CloudStack权限提升漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20869
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20868
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20867
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20873
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20872
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20870
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20874
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20875
5.Tenda G3 addDhcpRule函数缓冲区溢出漏洞
本周,Tenda G3被披露存在缓冲区溢出漏洞,该漏洞源于addDhcpRule函数中dhcpIndex参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21161
本周重要漏洞攻击验证情况
1.Apartment Visitors Management System 跨站脚本漏洞
验证描述
Apartment Visitors Management System是的一个公寓访客管理系统。
Apartment Visitors Management System存在跨站脚本漏洞,该漏洞源于文件/search-visitor.php中参数searchdata对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
验证信息
POC链接:
https://github.com/HieuGITLAB/my-cves/issues/11
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-20720
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/qJuMtkF2dnBh0jMn5CsAEA)