上周关注度较高的产品安全漏洞(20250217-20250223)

发布于 作者:

上周关注度较高的产品安全漏洞(20250217-20250223)

原创 CNVD CNVD漏洞平台 2025-02-24 08:47

一、境外厂商产品漏洞

1、SAP Supplier Relationship Management路径遍历漏洞

SAP Supplier Relationship Management是一款领先的采购供给链管理软件,旨在帮助企业优化供给商关系,提高采购效率和质量。SAP Supplier Relationship Management存在路径遍历漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可以应用程序上下文查看系统文件内容,获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03270

2、Google Android onCreate函数授权问题漏洞****

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在授权问题漏洞,该漏洞源于ChooserActivity.java的onCreate函数中缺少权限检查,攻击者可利用该漏洞导致绕过出厂重置保护,从而导致本地权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03264

3、Mozilla Firefox内存破坏漏洞(CNVD-2025-03275)

Mozilla Firefox是一款开源的WEB浏览器。Mozilla Firefox存在内存破坏漏洞,远程攻击者可利用该漏洞提交特殊的Web请求,诱使用户解析,可以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03275

4、Google Android Intent.java文件输入验证错误漏洞****

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在输入验证错误漏洞,该漏洞源于Intent.java的parseUriInternal函数中不正确的输入验证,攻击者可利用该漏洞导致无限循环,从而造成本地拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03263

5、SAP NetWeaver Application Server Java跨站脚本漏洞

SAP NetWeaver Application Server Java是德国思爱普(SAP)公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。SAP NetWeaver Application Server Java存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03269

二、境内厂商产品漏洞

1、TP-LINK WR845N弱加密漏洞****

TP-LINK WR845N是中国普联(TP-LINK)公司的一款无线路由器。TP-LINK WR845N V4_190219版本存在弱加密漏洞,该漏洞源于以base64编码形式传输凭据,攻击者可利用该漏洞通过中间人攻击轻松解码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03276

2、D-Link DIR-816A2 form2WlAc.cgi组件访问控制错误漏洞****

D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。D-Link DIR-816A2存在访问控制错误漏洞,该漏洞源于form2WlAc.cgi组件的访问控制不当,未认证攻击者可利用此漏洞通过特制POST请求设置2.4G和5G MAC访问控制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03262

3、TP-LINK AX1800竞争条件漏洞****


TP-LINK AX1800是中国普联(TP-LINK)公司的一款双频 Wi-Fi 6路由器。TP-LINK AX1800存在竞争条件漏洞,攻击者可利用该漏洞访问LAN接口可用的资源,执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03273

4、D-Link DIR-816A2 form2Wan.cgi组件访问控制错误漏洞****

D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。D-Link DIR-816A2存在访问控制错误漏洞,该漏洞源于form2Wan.cgi组件的访问控制不当,未认证攻击者可利用此漏洞通过特制POST请求设置广域网服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03261

5、TP-LINK Omada ER605缓冲区溢出漏洞****

TP-LINK Omada ER605是中国普联(TP-LINK)公司的一款VPN路由器。TP-LINK Omada ER605 1.0.1版本至2.2.3版本存在缓冲区溢出漏洞,该漏洞源于应用在处理不受信任的输入时出现边界错误。远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03274

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。