漏洞安全告警
1.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务等。
CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2025-21348、CNVD-2025-21366)、Google Android权限提升漏洞(CNVD-2025-21350)、Google Android堆缓冲区溢出漏洞(CNVD-2025-21351)、Google Android越界写入漏洞(CNVD-2025-21352)、Google Android权限提升漏洞(CNVD-2025-21368、CNVD-2025-21369)、Google Android路径遍历漏洞(CNVD-2025-21374)。其中,“Google Android堆缓冲区溢出漏洞(CNVD-2025-21351)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21348
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21350
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21351
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21352
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21366
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21368
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21369
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21374
2.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,在系统上执行任意代码,导致应用程序崩溃。
CNVD收录的相关漏洞包括:Adobe ColdFusion路径遍历漏洞(CNVD-2025-21409)、Adobe Commerce安全绕过漏洞(CNVD-2025-21417)、Adobe Substance3D Modeler越界读取漏洞(CNVD-2025-21418)、Adobe Substance3D Modeler代码执行漏洞、Adobe Substance3D Modeler内存错误引用漏洞、Adobe Substance3D Viewer堆缓冲区溢出漏洞、Adobe Substance3D Viewer越界写入漏洞(CNVD-2025-21422、CNVD-2025-21423)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21409
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21417
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21418
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21419
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21420
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21421
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21422
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21423
3.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Excel代码执行漏洞(CNVD-2025-21392、CNVD-2025-21394、CNVD-2025-21395、CNVD-2025-21397、CNVD-2025-21396、CNVD-2025-21398)、Microsoft Excel信息泄露漏洞(CNVD-2025-21393)、Microsoft Office代码执行漏洞(CNVD-2025-21408)。其中,除“Microsoft Excel信息泄露漏洞(CNVD-2025-21393)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21392
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21394
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21393
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21395
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21397
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21396
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21398
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21408
4.Rockwell Automation产品安全漏洞
本周,上述产品被披露存在多个本地代码执行漏洞,攻击者可利用漏洞泄露信息并在系统上执行任意代码。
CNVD收录的相关漏洞包括:Rockwell Automation Arena本地代码执行漏洞(CNVD-2025-21428、CNVD-2025-21429、CNVD-2025-21430、CNVD-2025-21432、CNVD-2025-21433、CNVD-2025-21434、CNVD-2025-21435、CNVD-2025-21436)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21428
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21429
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21430
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21432
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21433
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21434
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21435
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21436
5.Tenda W30E UploadCfg函数缓冲区溢出漏洞
本周,Tenda W30E被披露存在缓冲区溢出漏洞,该漏洞源于UploadCfg函数中v17参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21389
本周重要漏洞攻击验证情况
1.RiteCMS跨站脚本漏洞(CNVD-2025-21552)
验证描述
RiteCMS是一款基于PHP和SQLite的开源内容管理系统。
RiteCMS存在跨站脚本漏洞,该漏洞源于组件main_menu/edit_section对用户提供的数据缺乏有效过滤与转义,攻击者利用该漏洞窃取受害者基于cookie的身份验证凭据。
验证信息
POC链接:
https://www.exploit-db.com/exploits/52413
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-21552
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/-wQQoCErS0eR4JhgAomHBQ)