上周关注度较高的产品安全漏洞(20250120-20250126)

发布于 作者:

上周关注度较高的产品安全漏洞(20250120-20250126)

中国电信安全 2025-02-07 04:01

一、境外厂商产品漏洞

1、Adobe InDesign越界读取漏洞****

Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02143

2、IBM Db2拒绝服务漏洞****

IBM Db2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2存在拒绝服务漏洞,攻击者可利用该漏洞导致服务器崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01792

3、WordPress插件Education LMS跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress插件Education LMS 0.0.7版本及之前版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02007

4、Adobe Illustrator越界写入漏洞****

Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在越界写入漏洞,该漏洞源于应用在处理不受信任的输入时出现边界错误。攻击者可利用该漏洞在当前用户的环境中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02140

5、IBM Cognos Controller文件上传漏洞

IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Cognos Controller 11.0.1版本和11.0.0版本存在文件上传漏洞,该漏洞源于文件类型区分不足,经过身份验证的攻击者可利用此漏洞上传不安全的文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01790

二、境内厂商产品漏洞

1、北京亚控科技发展有限公司开发中心存在未授权访问漏洞

开发中心将全组态理念引入智能制造生产管控系统建设中来,旨在解决传统模式下智能制造MES系统开发周期长、成本高、门槛高等问题。北京亚控科技发展有限公司开发中心存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01105

2、WAVLINK AC3000 adm.cgi set_ledonoff函数命令注入漏洞****

WAVLINK AC3000是中国睿因(WAVLINK)公司的一个无线路由器。WAVLINK AC3000 M33A8.V5030.210505版本存在命令注入漏洞,该漏洞源于adm.cgi set_ledonoff函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02001

3、新华三技术有限公司H3C智能管理中心存在文件上传漏洞****

新华三技术有限公司是一家全球领先的数字化解决方案领导者。新华三技术有限公司H3C智能管理中心存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01914

4、用友网络科技股份有限公司用友NC存在SQL注入漏洞****

用友NC是一款大型erp企业管理系统与电子商务平台。用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01110

5、Huawei HarmonyOS AILife Solution路径遍历漏洞****

Huawei HarmonyOS AILife Solution是中国华为(Huawei)公司的一个智能设备链接操作系统。Huawei HarmonyOS AILife Solution 8.0版本存在路径遍历漏洞,攻击者可利用该漏洞导致音乐主机文件被非法删除或文件权限更改。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02255

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。