漏洞安全告警
1.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致绕过安全功能,提升权限,远程执行代码。
CNVD收录的相关漏洞包括:Microsoft Azure Monitor代码问题漏洞、Microsoft Azure Bastion权限提升漏洞、Microsoft Visual Studio Code访问控制错误漏洞、Microsoft SharePoint代码问题漏洞、Microsoft Exchange Server输入验证错误漏洞(CNVD-2025-3057284)、Microsoft Windows DirectX Graphics Kernel权限提升漏洞、Microsoft Outlook资源管理错误漏洞、Microsoft Office代码执行漏洞(CNVD-2025-3057378)。其中,除“Microsoft Windows DirectX Graphics Kernel权限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30568
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30567
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30570
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30569
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30572
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30575
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30574
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30573
2.DELL产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息丢失和信息泄露,导致拒绝服务,获得根级访问权限。
CNVD收录的相关漏洞包括:Dell PowerScale OneFS资源管理错误漏洞、Dell PowerScale OneFS文件名或路径的外部控制漏洞、Dell PowerScale OneFS不正确的权限分配漏洞、Dell PowerScale OneFS加密问题漏洞、Dell PowerScale OneFS执行不必要权限漏洞、Dell PowerScale OneFS输入验证不当漏洞、Dell PowerScale OneFS资源分配未设限制或节流漏洞、Dell PowerScale OneFS资源控制不当漏洞。其中,“Dell PowerScale OneFS加密问题漏洞、Dell PowerScale OneFS资源控制不当漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30262
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30265
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30264
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30268
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30267
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30270
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30269
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30271
3.Huawei产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响应用数据机密性和完整性。
CNVD收录的相关漏洞包括:Huawei HarmonyOS file management模块权限控制漏洞、Huawei HarmonyOS配置缺陷漏洞、Huawei HarmonyOS拒绝服务漏洞、Huawei HarmonyOS权限控制漏洞(CNVD-2025-30296、CNVD-2025-30295、CNVD-2025-30300、CNVD-2025-30299、CNVD-2025-30294)。其中,“Huawei HarmonyOS file management模块权限控制漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30256
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30294
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30293
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30296
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30295
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30298
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30300
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30299
4.TOTOLINK产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务。
CNVD收录的相关漏洞包括:TOTOLINK LR1200GB UploadCustomModule函数堆栈缓冲区溢出漏洞、TOTOLINK X2000R Gh formIpQoS方法堆栈缓冲区溢出漏洞、TOTOLINK LR1200GB setSmsCfg函数堆栈缓冲区溢出漏洞、TOTOLINK LR1200GB setParentalRules函数堆栈缓冲区溢出漏洞、TOTOLINK LR1200GB setUssd函数操作系统命令注入漏洞、TOTOLINK LR1200GB setTracerouteCfg函数栈缓冲区溢出漏洞、TOTOLINK LR1200GB setWanCfg函数操作系统命令注入漏洞、TOTOLINK X2000R Gh formIpv6Setup方法堆栈缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30272
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30276
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30278
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30277
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30280
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30279
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30281
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30282
5.Tenda CH22缓冲区溢出漏洞
本周,Tenda CH22被披露存在缓冲区溢出漏洞,该漏洞源于文件/goform/WrlExtraGet中参数chkHz未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30571
本周重要漏洞攻击验证情况
1.Staff Audit System /search_index.php文件SQL注入漏洞
验证描述
Staff Audit System存在SQL注入漏洞,该漏洞源于文件/search_index.php中参数Search缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/qingchuana/q1ngchuan/issues/8
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30303
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/4SdYvb5QpYlGbxnQbHklEg)