漏洞安全告警
1.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Google Chrome堆缓冲区溢出漏洞、Google Chrome Dawn中释放后重用漏洞、Google Chrome WebRTC释放后重用漏洞、Google Android权限提升漏洞(CNVD-2025-23025)、Google Android信息泄露漏洞(CNVD-2025-23028、CNVD-2025-23033、CNVD-2025-23045)、Google Android拒绝服务漏洞(CNVD-2025-23030)。其中,“Google Chrome堆缓冲区溢出漏洞、Google Chrome Dawn释放后重用漏洞、Google Chrome WebRTC释放后重用漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22924
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22926
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22925
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23025
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23028
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23030
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23033
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23045
2.Delta Electronics产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致身份验证绕过,导致信息泄露,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Delta Electronics CNCSoft-G2堆栈缓冲区溢出漏洞(CNVD-2025-22945、CNVD-2025-22946)、Delta Electronics DIALink目录遍历漏洞(CNVD-2025-22947)、Delta Electronics DIAView安全绕过漏洞、Delta Electronics DIALink目录遍历漏洞(CNVD-2025-22948)、Delta Electronics DTN Soft代码执行漏洞(CNVD-2025-22959、CNVD-2025-22957)、Delta Electronics DIAView目录遍历漏洞。其中,除“Delta Electronics DIAView安全绕过漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22945
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22947
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22946
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22949
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22948
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22959
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22958
https://www.cnvd.org.cn/flaw/show/CNVD-2025-22957
3.NVIDIA产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致代码执行,拒绝服务,特权升级,信息泄露和数据篡改等。
CNVD收录的相关漏洞包括:NVIDIA Triton Inference Server访问控制错误漏洞、NVIDIA Triton Inference Server越界写入漏洞、NVIDIA Triton Inference Server输入验证错误漏洞(CNVD-2025-23136)、NVIDIA Triton Inference Server权限提升漏洞、NVIDIA Triton Inference Server拒绝服务漏洞、NVIDIA Triton Inference Server目录遍历漏洞、NVIDIA Megatron-LM msdp预处理脚本代码注入漏洞、NVIDIA Megatron-LM ensemble_classifer脚本代码注入漏洞。其中,除“NVIDIA Megatron-LM msdp预处理脚本代码注入漏洞、NVIDIA Megatron-LM ensemble_classifer脚本代码注入漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23133
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23134
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23136
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23142
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23143
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23144
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23256
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23257
4.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致绕过安全功能,获取敏感信息,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Edge (Chromium-based)远程代码执行漏洞(CNVD-2025-23050、CNVD-2025-23058、CNVD-2025-23059)、Microsoft Edge (Chromium-based)安全功能绕过漏洞(CNVD-2025-23051)、Microsoft Edge (Chromium-based)欺骗漏洞(CNVD-2025-23054)、Microsoft Edge (Chromium-based)权限提升漏洞(CNVD-2025-23055、CNVD-2025-23064)、Microsoft Edge (Chromium-based)信息泄露漏洞(CNVD-2025-23056)。其中,除“Microsoft Edge (Chromium-based)安全功能绕过漏洞(CNVD-2025-23051)、Microsoft Edge (Chromium-based)欺骗漏洞(CNVD-2025-23054)、Microsoft Edge (Chromium-based)权限提升漏洞(CNVD-2025-23055)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23050
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23051
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23054
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23055
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23056
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23058
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23059
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23064
5.D-Link DIR-823X命令注入漏洞(CNVD-2025-23372)
本周,D-Link DIR-823X被披露存在命令注入漏洞,该漏洞源于对文件/goform/delete_offline_device中参数delvalue的错误操作,攻击者可利用该漏洞导致命令注入。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23372
本周重要漏洞攻击验证情况
1.Tenda AC18缓冲区溢出漏洞
验证描述
Tenda AC18是深圳市吉祥腾达科技有限公司于2016年7月推出的双频无线路由器,主要面向别墅及大户型家庭用户。
Tenda AC18存在缓冲区溢出漏洞,该漏洞源于/goform/WizardHandle文件对WANT/mtuvalue参数处理时未进行有效边界检查。攻击者可利用该漏洞执行任意代码或导致系统崩溃。
验证信息
POC链接:
https://github.com/noahze01/IoT-vulnerable/blob/main/Tenda/AC18/WizardHandle.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23113
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/pgZrSPxR4LKyAayT5c3WOw)