上周关注度较高的产品安全漏洞(20250303-20250309)

发布于 作者:

上周关注度较高的产品安全漏洞(20250303-20250309)

原创 CNVD CNVD漏洞平台 2025-03-10 17:32

一、境外厂商产品漏洞

1、Microsoft Excel代码执行漏洞(CNVD-2025-04194)

Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04194

2、Adobe Substance 3D Designer越界写入漏洞(CNVD-2025-04206)

Adobe Substance 3D Designer是美国奥多比(Adobe)公司的一款3D设计软件。Adobe Substance 3D Designer存在越界写入漏洞,攻击者可利用此漏洞在当前用户环境中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04206

3、IBM Aspera Shares输入验证错误漏洞

IBM Aspera Shares是美国国际商业机器(IBM)公司的一个Web应用程序。IBM Aspera Shares存在输入验证错误漏洞,该漏洞源于对“Client-IP”标头的验证不当,攻击者可利用该漏洞伪造其IP地址(写入日志文件)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04173

4、Adobe Commerce信息泄露漏洞(CNVD-2025-04204)

Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-04204

5、Rockwell Automation controllers拒绝服务漏洞(CNVD-2025-04522)

Rockwell Automation controllers是美国罗克韦尔(Rockwell Automation)公司的一系列控制器。Rockwell Automation controllers存在拒绝服务漏洞,该漏洞源于其控制器对于格式错误的CIP请求不当处理,攻击者可利用该漏洞导致重大不可恢复故障(MNRF)和拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04522

二、境内厂商产品漏洞

1、北京火绒网络科技有限公司火绒安全软件存在权限提升漏洞

火绒安全软件是一款免费的电脑防御及杀毒类安全软件。北京火绒网络科技有限公司火绒安全软件存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03894

2、科大讯飞(北京)有限公司北京软件分公司教育云应用中心存在信息泄露漏洞

科大讯飞股份有限公司一直从事智能语音、计算机视觉、自然语言处理、认知智能等人工智能核心技术研究并保持国际前沿水平。科大讯飞(北京)有限公司北京软件分公司教育云应用中心存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04025

3、TOTOLINK X18命令注入漏洞


TOTOLINK X18是中国吉翁电子(TOTOLINK)公司的一款千兆路由器。TOTOLINK X18 9.1.0cu.2024_B20220329版本存在命令注入漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi的参数enable未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04187

4、D-Link DIR-816代码注入漏洞

D-Link DIR-816是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-816 1.01TO版本存在代码注入漏洞,该漏洞源于对参数 SSID 的错误操作会导致跨站点脚本攻击。攻击者可以利用该漏洞执行恶意脚本,窃取用户cookie或进行钓鱼攻击等。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04183

5、TOTOLINK X18缓冲区溢出漏洞

TOTOLINK X18是中国吉翁电子(TOTOLINK)公司的一款千兆路由器。TOTOLINK X18 9.1.0cu.2024_B20220329版本存在缓冲区溢出漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi的参数String未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04186

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。