上周关注度较高的产品安全漏洞(20250310-20250316)

发布于 作者:

上周关注度较高的产品安全漏洞(20250310-20250316)

原创 CNVD CNVD漏洞平台 2025-03-17 18:49

一、境外厂商产品漏洞

1、Google Chrome代码执行漏洞(CNVD-2025-05091)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 132.0.6834.83之前版本存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05091

2、Apache Tomcat远程代码执行漏洞

Apache Tomcat是一个开源的轻量级Java Web服务器和Servlet容器,专为运行Java Servlet和JSP设计的核心工具,支持动态内容处理并托管静态资源,是中小型Java Web应用开发与部署的基石。Apache Tomcat存在远程代码执行漏洞,该漏洞源于当应用程序DefaultServlet启用写入功能(默认情况下禁用)、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时所致,未授权攻击者可利用漏洞执行恶意代码获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04973

3、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-04681)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在安全漏洞,攻击者可利用该漏洞将恶意脚本注入易受攻击的表单字段。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04681

4、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-04683)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在安全漏洞,攻击者可利用该漏洞将恶意脚本注入易受攻击的表单字段。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04683

5、TRENDnet TEW-929DRU /addschedule.htm页面跨站脚本漏洞

TRENDnet TEW-929DRU是美国趋势网络(TRENDnet)公司的一款无线路由器。TRENDnet TEW-929DRU 1.0.0.10版本存在跨站脚本漏洞,该漏洞源于/addschedule.htm页面上have_same_name函数内的r_name变量对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05094

二、境内厂商产品漏洞

1、北京火绒网络科技有限公司火绒安全软件存在权限提升漏洞

火绒安全软件是一款免费的电脑防御及杀毒类安全软件。北京火绒网络科技有限公司火绒安全软件存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03894

1、北京神州绿盟科技有限公司SAG安全网关存在逻辑缺陷漏洞


SAG安全网关是一种智能接入网关服务。北京神州绿盟科技有限公司SAG安全网关存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04768

2、北京天融信科技有限公司上网行为管理系统存在命令执行漏洞

北京天融信科技有限公司是一家信息安全产品与服务解决方案提供商。北京天融信科技有限公司上网行为管理系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04753

3、北京天融信科技有限公司上网行为管理存在命令执行漏洞

北京天融信科技有限公司是一家信息安全产品与服务解决方案提供商。北京天融信科技有限公司上网行为管理存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04750

4、TOTOlink A3002R static_gw参数缓冲区溢出漏洞

TOTOLINK A3002R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK A3002R V1.1.1-B20200824.0128版本存在缓冲区溢出漏洞,该漏洞源于static_gw参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05098

5、上海上讯信息技术股份有限公司运维管理审计系统存在命令执行漏洞

上海上讯信息技术股份有限公司(以下简称“上讯信息”),是数据、智能安全运维、移动安全、安全服务等领域国内领先供应商之一。上海上讯信息技术股份有限公司运维管理审计系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04835

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。