雷神众测漏洞周报2025.6.3-2025.6.8
雷神众测漏洞周报2025.6.3-2025.6.8
原创 雷神众测 雷神众测 2025-06-09 09:51
摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Roundcube Webmail存在反序列化漏洞
2.VMware Cloud Foundation信息泄露漏洞
3.D-Link DSL-3782 public_type参数OS命令注入漏洞
4.Google Chrome权限提升漏洞
漏洞详情
1.Microsoft Office代码执行漏洞
漏洞介绍:
Roundcube Webmail是一款开源的基于Web的电子邮件客户端,旨在为用户提供简洁而强大的电子邮件管理工具。
漏洞危害:
由于program/actions/settings/upload.php文件中未对URL中的_from参数进行验证,导致PHP对象反序列化漏洞,从而允许经过身份验证的用户执行远程代码。
漏洞编号:
CVE-2025-49113
影响范围:
Roundcube Webmail <1.5.10
1.6.0<= Roundcube Webmail <1.6.11
修复方案:
及时测试并升级到最新版本或升级版本
来源:
安恒信息CERT
2.VMware Cloud Foundation信息泄露漏洞
漏洞介绍:
VMware Cloud Foundation是美国威睿(VMware)公司的一套一体化混合云平台。该平台包括运维自动化、基础架构自动配置和集成式生命周期管理等功能。
漏洞危害:
VMware Cloud Foundation存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
漏洞编号:
CVE-2025-41230
影响范围:
VMWare VMware Cloud Foundation
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
3.D-Link DSL-3782 public_type参数OS命令注入漏洞****
漏洞介绍:
D-Link DSL-3782是友讯公司的一款无线路由器。
漏洞危害:
D-Link DSL-3782存在OS命令注入漏洞,该漏洞源于处理public_type参数,攻击者可利用该漏洞提交特殊的请求,执行任意命令。
漏洞编号:
CVE-2025-25895
影响范围:
D-Link DSL-3782 v1.01
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
4.Google Chrome权限提升漏洞
漏洞介绍:
Google Chrome是一款由Google公司开发的WEB浏览器。
漏洞危害:
Google Chrome存在权限提升漏洞,该漏洞源于Extensions中的不当实现,攻击者可利用该漏洞提交特殊的Web请求,诱使用户解析,提升权限。
漏洞编号:
CVE-2025-3069
影响范围:
Google Chrome <135.0.7049.41
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
专注渗透测试技术
全球最新网络攻击技术
END
