雷神众测漏洞周报2024.2.10-2024.2.16

发布于 作者:

雷神众测漏洞周报2024.2.10-2024.2.16

原创 雷神众测 雷神众测 2025-02-18 09:15

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.北京宏景世纪软件股份有限公司宏景HCM存在SQL注入漏洞

2.Microsoft Excel远程代码执行漏洞

3.Microsoft Office Visio远程代码执行漏洞

4.Microsoft SharePoint授权问题漏洞

漏洞详情

1.北京宏景世纪软件股份有限公司宏景HCM存在SQL注入漏洞

漏洞介绍:

宏景HCM是一款基于人力资源从管理到服务经营的转型升级的人力资本管理系统。

漏洞危害:

北京宏景世纪软件股份有限公司宏景HCM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

影响范围:

北京宏景世纪软件股份有限公司 宏景HCM

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

2.Microsoft Excel远程代码执行漏洞

漏洞介绍:

Microsoft Excel是微软公司为使用Windows和macOS操作系统的电脑编写的一款电子表格软件。

漏洞危害:

Microsoft Excel存在远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。

漏洞编号:

CVE-2025-21381

影响范围:

Microsoft 365 Apps for Enterprise<https: aka.ms=”” officesecurityreleases<=”” div=””>

Microsoft 365 Apps for Enterprise 16.0.1

Microsoft Office LTSC 2021<https: aka.ms=”” officesecurityreleases<=”” div=””>

Microsoft Office LTSC 2021 16.0.1

Microsoft Office LTSC 2024<https: aka.ms=”” officesecurityreleases<=”” div=””>

Microsoft Office LTSC 2024 1.0.0

Microsoft Office Online Server <16.0.10416.20058

Microsoft Office Online Server 1.0.0

Microsoft Office 2019<https: aka.ms=”” officesecurityreleases<=”” div=””>

Microsoft Office 2019 19.0.0

Microsoft Office LTSC for Mac 2021 <16.94.25020927

Microsoft Office LTSC for Mac 2021 16.0.1

Microsoft Office LTSC for Mac 2024 <16.94.25020927

Microsoft Office LTSC for Mac 2024 1.0.0

Microsoft Excel 2016 <16.0.5487.1000

Microsoft Excel 2016 16.0.0.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

3.Microsoft Office Visio远程代码执行漏洞

漏洞介绍:

Microsoft Office是一款广泛使用的办公软件套件,包括Word、Excel、PowerPoint、Visio等组件,提供文档编辑、数据分析、演示制作等功能。

漏洞危害:

Microsoft Office Visio存在远程代码执行漏洞,该漏洞产生的原因是使用了已释放的内存(Use After Free)。攻击者可以利用该漏洞通过诱使用户打开特制的Visio文件执行任意代码。

漏洞编号:

CVE-2025-21345

影响范围:

Microsoft Microsoft Office 2019 19.0.0

Microsoft Microsoft Office 2019 16.0.1

Microsoft Microsoft Office 2019 1.0.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.Microsoft SharePoint授权问题漏洞

漏洞介绍:

Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。

漏洞危害:

Microsoft SharePoint存在授权问题漏洞。攻击者利用该漏洞可以远程执行代码。

漏洞编号:

CVE-2025-21348

影响范围:

Microsoft SharePoint Server 2016

Microsoft SharePoint Server 2019

Microsoft SharePoint Server <16.0.17928.20356

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END