漏洞安全告警
1.IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取系统敏感信息,通过本地读取配置文件获取密码等敏感信息,进而提升权限或窃取系统凭证,通过执行任意请求,绕过权限验证,访问受限资源等。
CNVD收录的相关漏洞包括:IBM Jazz Foundation跨站脚本漏洞(CNVD-2025-23599)、IBM Security Verify Information Queue加密问题漏洞、IBM PowerVM Hypervisor资源管理错误漏洞、IBM Sterling B2B Integrator跨站脚本漏洞(CNVD-2025-23601)、IBM MQ信息泄露漏洞(CNVD-2025-23600)、IBM Security Verify Governance Identity Manager信息泄露漏洞(CNVD-2025-23712)、IBM OpenPages with Watson加密问题漏洞、IBM Edge Application Manager代码问题漏洞。其中,“IBM Security Verify Governance Identity Manager信息泄露漏洞(CNVD-2025-23712)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23599
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23598
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23597
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23601
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23600
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23712
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23714
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23713
2.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML,导致权限提升,在当前用户的环境中执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Photoshop资源管理错误漏洞、Adobe Connects代码问题漏洞、Adobe Substance3D Viewer缓冲区溢出漏洞、Adobe Framemaker代码执行漏洞、Adobe Substance3D Modeler缓冲区溢出漏洞、Adobe Commerce跨站请求伪造漏洞(CNVD-2025-23610)、Adobe Commerce跨站脚本漏洞(CNVD-2025-23609、CNVD-2025-24163)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23606
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23603
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23611
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23610
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23609
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24164
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24163
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24165
3.DELL产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致未经授权访问通信,导致拒绝服务,导致权限提升、对应用程序数据的未经授权的访问、对应用软件数据的未授权修改和服务中断等。
CNVD收录的相关漏洞包括:DELL BSAFE Crypto-J信息泄露漏洞、Dell Networking Switches running Enterprise SONiC OS日志信息泄露漏洞、DELL Enterprise SONiC OS加密密钥漏洞、Dell PowerScale OneFS拒绝服务漏洞、Dell Unity路径遍历漏洞、Dell Grab for Windows权限提升漏洞、Dell Unity XML外部实体注入漏洞、Dell Unity任意文件创建漏洞。其中,“DELL Enterprise SONiC OS加密密钥漏洞、Dell Unity任意文件创建漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23474
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23478
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23484
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23625
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23646
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23644
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23650
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23732
4.Fortinet产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,通过构造特制HTTP请求执行未授权代码或命令,导致执行任意代码等。
CNVD收录的相关漏洞包括:Fortinet FortiMail缓冲区溢出漏洞、Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2025-23615、CNVD-2025-23616)、Fortinet FortiSOAR路径遍历漏洞、fortinet FortiAnalyzer竞争条件问题漏洞、fortinet FortiADC信息泄露漏洞、Fortinet FortiPAM操作系统命令注入漏洞(CNVD-2025-24146)、Fortinet FortiOS访问控制错误漏洞(CNVD-2025-24145)。其中,“Fortinet FortiMail缓冲区溢出漏洞、Fortinet FortiWeb操作系统命令注入漏洞(CNVD-2025-23615、CNVD-2025-23616)、Fortinet FortiPAM操作系统命令注入漏洞(CNVD-2025-24146)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23617
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23616
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23615
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23614
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24144
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24142
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24146
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24145
5.Tenda AC7命令注入漏洞
本周,Tenda AC7被披露存在命令注入漏洞,该漏洞源于对文件/goform/AdvSetLanip中参数lanIp未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-24162
本周重要漏洞攻击验证情况
1.Student Record System edit-student.php文件SQL注入漏洞
验证描述
Student Record System是用于管理学生信息、成绩及校园事务的综合性系统,常见功能包括学生档案管理、成绩录入与查询、考勤管理、学费缴纳等。
Student Record System存在SQL注入漏洞,该漏洞源于文件/edit-student.php中参数fmarks2缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/f1rstb100d/myCVE/issues/97
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-23604
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/-3aYwqRPa1kDC5-6QLrv8w)