漏洞安全告警
1.IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过远程方式获取敏感信息,溢出缓冲区,在目标系统上执行任意代码或导致服务器崩溃等。
CNVD收录的相关漏洞包括:IBM Guardium Data Protection信息泄露漏洞、IBM Operational Decision Manager输入验证错误漏洞、IBM QRadar SIEM跨站脚本漏洞(CNVD-2025-19778)、IBM Tivoli Monitoring缓冲区溢出漏洞(CNVD-2025-19777、CNVD-2025-19776)、IBM Db2拒绝服务漏洞(CNVD-2025-19781、CNVD-2025-19783、CNVD-2025-19782)。其中,“IBM Operational Decision Manager输入验证错误漏洞、IBM Tivoli Monitoring缓冲区溢出漏洞(CNVD-2025-19777、CNVD-2025-19776)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19775
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19779
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19778
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19777
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19776
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19781
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19783
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19782
2.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行欺骗攻击,执行代码等。
CNVD收录的相关漏洞包括:Microsoft Azure Stack路径遍历漏洞、Microsoft Word资源管理错误漏洞(CNVD-2025-19541)、Microsoft Office Visio资源管理错误漏洞、Microsoft Azure信息泄露漏洞(CNVD-2025-19545)、Microsoft Azure访问控制错误漏洞、Microsoft Office PowerPoint资源管理错误漏洞、Microsoft Office Visio资源管理错误漏洞(CNVD-2025-19547)、Microsoft Office资源管理错误漏洞。其中,除“Microsoft Azure信息泄露漏洞(CNVD-2025-19545)、Microsoft Azure访问控制错误漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19543
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19541
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19546
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19545
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19544
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19548
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19547
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19554
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞使应用程序崩溃或可以应用程序上下文执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Framemaker释放后重用漏洞(CNVD-2025-19624、CNVD-2025-19625、CNVD-2025-19626)、Adobe InDesign Desktop越界写入漏洞(CNVD-2025-19628、CNVD-2025-19627)、Adobe InDesign Desktop释放后重用漏洞(CNVD-2025-19767、CNVD-2025-19766、CNVD-2025-19765)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19624
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19625
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19626
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19628
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19627
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19767
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19766
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19765
4.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致内存损坏,提交特殊的请求,可使应用程序崩溃,提交特殊的请求,可以在应用程序上下文执行任意代码等。
CNVD收录的相关漏洞包括:Apache Seata代码执行漏洞、Apache Struts Extras日志信息泄露漏洞、Apache Superset授权问题漏洞、Apache Commons FileUpload文件上传漏洞、Apache HTTP Server代码问题漏洞、Apache ORC缓冲区溢出漏洞、Apache Kvrocks拒绝服务漏洞、Apache ActiveMQ缓冲区溢出漏洞。其中,除“Apache Struts Extras日志信息泄露漏洞、Apache HTTP Server代码问题漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19769
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19780
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19788
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19786
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19785
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19789
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19791
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19790
5.D-Link DSL-7740C backup函数命令注入漏洞
本周,D-Link DSL-7740C backup函数被披露存在命令注入漏洞,攻击者可利用该漏洞执行任意命令。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19871
本周重要漏洞攻击验证情况
1.Complaint Management System SQL注入漏洞
验证描述
Complaint Management System是一个投诉管理系统。
Complaint Management System存在SQL注入漏洞,该漏洞源于/admin/between-date-userreport.php文件参数fromdate/todate缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/f1rstb100d/myCVE/issues/42
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-19787
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/jFPlSWD54swtu5hkzuq5lQ)