上周关注度较高的产品安全漏洞(20250707-20250713)

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247496126&idx=2&sn=ccf97af76f2a431d483b41df127f0530

上周关注度较高的产品安全漏洞(20250707-20250713)

原创 CNVD CNVD漏洞平台 2025-07-14 09:38

一、境外厂商产品漏洞

1、GNU Binutils pr_function_type函数内存泄露漏洞

GNU Binutils是一组用于处理二进制文件的工具集。GNU Binutils存在内存泄露漏洞,该漏洞源于prdbg.c文件中的pr_function_type函数存在内存泄漏问题。攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15246 

2、Ivanti Connect Secure越界读取漏洞

Ivanti Connect Secure是一款企业级SSL VPN远程访问解决方案,用于通过加密通道安全连接企业资源,支持零信任架构和多种部署方式。Ivanti Connect Secure存在越界读取漏洞,攻击者可利用该漏洞触发无限循环,从而导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15480 

3、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-15534)

Adobe Experience Manager是Adobe公司推出的一款综合性内容管理解决方案(CMS),主要用于构建网站、移动应用程序和管理数字资产,同时支持跨渠道内容交付和个性化数字体验的创建‌。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞导致恶意脚本执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15534 

4、Ivanti Secure Access Client权限提升漏洞

Ivanti Secure Access Client是Ivanti公司的一个安全软件客户端。Ivanti Secure Access Client存在权限提升漏洞,该漏洞源于权限限制不足,攻击者可利用该漏洞提升特权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15472 

5、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-15563)

Adobe Experience Manager是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞执行恶意JavaScript。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15563 

二、境内厂商产品漏洞

1、TOTOLINK A720R访问控制错误漏洞

TOTOLINK A720R是中国吉翁电子(TOTOLINK)公司的一款无线路由器‌‌。TOTOLINK A720R存在访问控制错误漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi中参数topicurl处理不当,攻击者可利用该漏洞导致信息泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15235 

2、用友网络科技股份有限公司用友U8+CRM存在SQL注入漏洞

用友U8+CRM是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。用友网络科技股份有限公司用友U8+CRM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14603 

3、深圳市蓝凌软件股份有限公司业务经营云存在sql注入漏洞

深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的智能知识与“AI+协同”解决方案提供商。深圳市蓝凌软件股份有限公司业务经营云存在sql注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14712 

4、TOTOLINK A3002RU /boafrm/formWlSiteSurvey文件缓冲区溢出漏洞

TOTOLINK A3002RU是中国吉翁电子(TOTOLINK)公司的一款无线路由器产品。TOTOLINK A3002RU 3.0.0-B20230809.1615版本存在缓冲区溢出漏洞,该漏洞源于文件/boafrm/formWlSiteSurvey中参数submit-url未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15484 

5、TOTOLINK EX1200L setOpModeCfg接口命令执行漏洞

TOTOLINK EX1200L是一款双频无线信号放大器,主要用于扩展家庭或办公环境的Wi-Fi覆盖范围,解决信号弱或死角问题。TOTOLINK EX1200L存在命令执行漏洞,该漏洞源于cstecgi.cgi的setOpModeCfg接口未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15342 

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。