上周关注度较高的产品安全漏洞(20250714-20250720)

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247496156&idx=2&sn=7858d5d8239a0dde15b3ef6f39a62ac1

上周关注度较高的产品安全漏洞(20250714-20250720)

原创 CNVD CNVD漏洞平台 2025-07-21 09:29

一、境外厂商产品漏洞

1、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-15840)

Adobe Experience Manager是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞执行恶意JavaScript。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15840

2、Ivanti Patch SDK权限问题漏洞

Ivanti Patch SDK是Ivanti公司提供的安全工具开发包,主要用于帮助企业自动化处理系统漏洞修复和补丁管理。Ivanti Patch SDK存在权限问题漏洞,该漏洞源于权限不足。攻击者可利用该漏洞删除任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15729

3、Adobe Experience Manager访问控制错误漏洞(CNVD-2025-16241)

Adobe Experience Manager是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在访问控制错误漏洞,攻击者可利用该漏洞导致安全功能绕过。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16241

4、WordPress PrivateContent-Mail Actions文件包含漏洞

WordPress PrivateContent-Mail Actions是插件或功能模块的名称,用于邮件操作和会员管理。WordPress PrivateContent-Mail Actions存在文件包含漏洞,该漏洞源于文件包含控制不当,攻击者可利用该漏洞导致PHP本地文件包含。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15626

5、Endress+Hauser MEAC300-FNADE4跨站请求伪造漏洞

Endress+Hauser MEAC300-FNADE4是越南Endress+Hauser公司的一款具有成本效益的排放数据管理计算机。Endress+Hauser MEAC300-FNADE4存在跨站请求伪造漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16358

二、境内厂商产品漏洞

1、杭州海康威视数字技术股份有限公司海康威视综合安防管理平台存在命令执行漏洞

杭州海康威视数字技术股份有限公司是一家专注技术创新的科技公司。杭州海康威视数字技术股份有限公司海康威视综合安防管理平台存在命令执行漏洞,攻击者可利用漏洞执行恶意命令,获取服务器主机权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16049

2、北京派网软件有限公司panabit日志审计系统存在命令执行漏洞

北京派网软件有限公司是一家专注于为政企行业提供网络应用层解决方案的科技公司。北京派网软件有限公司panabit日志审计系统存在命令执行漏洞,攻击者可利用漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16041

3、Tenda AC6缓冲区溢出漏洞(CNVD-2025-15722)

Tenda AC6是腾达推出的双频无线路由器。Tenda AC6存在缓冲区溢出漏洞,该漏洞源于文件/goform/AdvSetLanip中参数lanMask的操作。攻击者可利用该漏洞远程执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15722

4、D-Link DIR-825 do_file函数缓冲区溢出漏洞

D-Link DIR-825是中国友讯(D-Link)公司的一款路由器。D-Link DIR-825 2.03版本存在缓冲区溢出漏洞,该漏洞源于HTTP POST Request Handler组件中函数do_file未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16326

5、广州红海云计算股份有限公司红海云eHr存在信息泄露漏洞

红海云eHR是红海云公司推出的数字化人力资源管理解决方案,专注于为国有企业及大型企业提供系统化、精准化的薪酬分配与激励体系优化服务。广州红海云计算股份有限公司红海云eHr存在信息泄露漏洞,攻击者可利用漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16197

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。