信息安全漏洞周报【第014期】
信息安全漏洞周报【第014期】
零零捌信安观察 银天信息 2025-03-21 20:58
点击蓝字 关注我们
零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。
目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。
收录的漏洞详细信息如下:
1、Microsoft Office代码执行漏洞
|
公开时间 |
2025-03-19 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-05243 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。 Microsoft Office存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。 |
||
|
影响产品 |
Microsoft 365 Apps for Enterprise Microsoft Microsoft Office LTSC 2024 |
||
|
解决方案 |
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2025-26629 |
||
|
参考链接 |
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-26629 |
||
2、Apache Camel任意命令执⾏漏洞
|
公开时间 |
2025-03-17 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-05169 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
Apache Camel是美国阿帕奇(Apache)基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。该框架提供企业集成模式的Java对象(POJO)的实现,且通过应用程序接口来配置路由和中介的规则。 Apache Camel存在任意命令执⾏漏洞,该漏洞是由于Apache Camel对请求头⼤⼩写处理不当,攻击者可利用该漏洞通过传递特殊格式的头部(如"CAmelExecCommandExecutable"而非"CamelExecCommandExecutable")绕过安全过滤,覆盖预定义命令,导致任意命令执⾏。 |
||
|
影响产品 |
Apache Camel >=4.10.0,<=4.10.1 Apache Camel >=4.8.0,<=4.8.4 Apache Camel >=3.10.0,<=3.22.3 |
||
|
解决方案 |
厂商已提供漏洞修补方案,请关注厂商主页及时更新:http://www.apache.org/ |
||
| 参考链接 |
https://github.com/akamai/CVE-2025-27636-Apache-Camel-PoC |
||
**3、用友网络科技股份有限公司用友
NC存在SQL注入漏洞
****
|
公开时间 |
2025-03-17 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-04985 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
用友NC是一款大型erp企业管理系统与电子商务平台。 用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 |
||
| 影响产品 |
用友网络科技股份有限公司 用友NC |
||
| 解决方案 |
厂商已提供漏洞修补方案,建议用户下载使用: https://security.yonyou.com/#/noticeInfo?id=285 |
||
|
参考链接 |
https://www.cnvd.org.cn/flaw/show/CNVD-2025-04985 |
||
服务热线:
400-996-5191
供稿:肖杰
编校:周晶晶
审核:李孔民