雷神众测漏洞周报2025.4.21-2025.4.27

雷神众测 雷神众测 2025-04-28 07:00

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1.PyTorch存在远程代码执行漏洞

2.北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞

3.用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

4.上海泛微网络科技股份有限公司e-cology存在命令执行漏洞

漏洞详情

1.PyTorch存在远程代码执行漏洞

漏洞介绍：

PyTorch 是一个基于软件的开源深度学习框架，用于构建神经网络，将Torch的机器学习 (ML) 库与基于Python的高级API相结合。

漏洞危害：

当使用torch.load加载模型且weights_only=True时，攻击者可以利用此漏洞在目标机器上执行任意命令，可能导致数据泄露、系统入侵，甚至在云托管的AI环境中进行横向移动。

漏洞编号：

CVE-2025-32434

影响范围：

PyTorch <= 2.5.1

修复方案：

及时测试并升级到最新版本或升级版本

来源:
安恒信息CERT

2.北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞

---

漏洞介绍：

北京北大方正电子有限公司是一家在印刷、传媒、出版、字库等领域具有领先地位的技术和服务提供商。

漏洞危害：

北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

影响范围：

北京北大方正电子有限公司 方正畅享全媒体新闻采编系统

修复方案：

及时测试并升级到最新版本或升级版本

来源：
CNVD

3.用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

漏洞介绍：

U8 Cloud是一款企业上云数字化平台，集交易、服务、管理于一体的ERP整体解决方案。

漏洞危害：

用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

影响范围：

用友网络科技股份有限公司 U8 Cloud

修复方案：

及时测试并升级到最新版本或升级版本

来源：
CNVD

4.上海泛微网络科技股份有限公司e-cology存在命令执行漏洞

漏洞介绍：

e-cology是一款企业级协同办公自动化系统，主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点，旨在提升组织的协同办公效率和管理水平。

漏洞危害：

上海泛微网络科技股份有限公司e-cology存在命令执行漏洞，攻击者可利用该漏洞向数据库中写入数据，并利用Ole组件导出为Webshell，实现远程代码执行，进而获取服务器权限。

影响范围：

上海泛微网络科技股份有限公司 e-cology <10.74

修复方案：

及时测试并升级到最新版本或升级版本

来源：
CNVD

专注渗透测试技术

全球最新网络攻击技术

END