漏洞安全告警
1.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全措施,获得未经授权的读写访问权限,在当前用户的上下文中执行代码。
CNVD收录的相关漏洞包括:Adobe Pass Authentication Android SDK不正确授权漏洞、Adobe Substance3D Stager越界读取漏洞、Adobe Substance3D Stager内存错误引用漏洞(CNVD-2025-29691、CNVD-2025-29692)、Adobe InDesign内存错误引用漏洞(CNVD-2025-29698、CNVD-2025-29699)、Adobe Illustrator on iPads堆缓冲区溢出漏洞、Adobe Photoshop堆缓冲区溢出漏洞(CNVD-2025-29701)。其中,除“Adobe Pass Authentication Android SDK不正确授权漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29688
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29689
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29691
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29692
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29698
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29699
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29700
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29701
2.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Application Gateway权限提升漏洞、Microsoft Office代码执行漏洞(CNVD-2025-29929)、Microsoft SharePoint远程代码执行漏洞(CNVD-2025-29930)、Microsoft Excel代码执行漏洞(CNVD-2025-29932、CNVD-2025-29933、CNVD-2025-29962、CNVD-2025-29964)、Microsoft Nuance PowerScribe 360信息泄露漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29916
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29929
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29930
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29932
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29933
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29960
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29962
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29964
3.ZOHO产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息,导致任意命令执行等。
CNVD收录的相关漏洞包括:ZOHO ManageEngine Analytics Plus SQL注入漏洞、ZOHO ManageEngine Applications Manager命令注入漏洞、ZOHO ManageEngine Exchange reporter Plus跨站脚本漏洞(CNVD-2025-29919、CNVD-2025-29920、CNVD-2025-29921、CNVD-2025-29922)、ZOHO ManageEngine Applications Manager信息泄露漏洞(CNVD-2025-29926)、ZOHO ManageEngine Analytics Plus SQL注入漏洞(CNVD-2025-29927)。其中,除“ZOHO ManageEngine Applications Manager信息泄露漏洞(CNVD-2025-29926)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29917
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29918
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29919
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29920
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29921
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29922
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29926
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29927
4.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2025-29702、CNVD-2025-29703、CNVD-2025-29704、CNVD-2025-29705、CNVD-2025-29706、CNVD-2025-29707)、Google Android拒绝服务漏洞(CNVD-2025-29708)、Google Android信息泄露漏洞(CNVD-2025-29709)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29702
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29703
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29704
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29705
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29706
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29707
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29708
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29709
5.TOTOLINK A7000R urldecode函数堆栈缓冲区溢出漏洞
本周,TOTOLINK A7000R被披露存在堆栈缓冲区溢出漏洞,该漏洞源于urldecode函数的ssid参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29717
漏洞攻击验证情况
1.Linksys E1200堆栈缓冲区溢出漏洞
验证描述
Linksys E1200是美国Linksys公司的一款路由器。
Linksys E1200存在堆栈缓冲区溢出漏洞,攻击者可利用该漏洞导致执行任意代码或拒绝服务。
验证信息
POC链接:
https://github.com/yifan20020708/SGTaint-0-day/blob/main/Linksys/Linksys-E1200/CVE-2025-60690.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-29968
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/m4yd1bEFrn57h1ErOCGXyA)