雷神众测漏洞周报2025.2.24-2024.3.2

原创 雷神众测 雷神众测 2025-03-04 16:45

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

---

1.Exim存在SQL注入漏洞

2.用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

3.Ollama未授权访问漏洞

4.Google Chrome代码执行漏洞

---

漏洞详情

1.Exim存在SQL注入漏洞

漏洞介绍：

EXIM是一种电子邮件传输代理（Mail Transfer Agent, MTA），主要用于在Unix和类Unix系统中发送、接收和转发电子邮件。

漏洞危害：

攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞，从而可能导致未经授权访问敏感信息或破坏服务器的运行。若不满足下述所有条件将不受该漏洞影响：

1.Exim运行版本为4.98；

2.启用USE_SQLITE选项（可使用exim -bv进行检查，返回结果为Hints DB:Using sqlite3）；

3.启用ETRN（acl_smtp_etrn返回accept，默认为denied）；

4.启用smtp_etrn_serialize（默认为true）。

漏洞编号：

CVE-2025-26794

影响范围：

Exim version 4.98

修复方案：

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

漏洞介绍：

U8 Cloud是用友推出的一款新一代云ERP（企业资源计划）解决方案，主要面向成长型和创新型企业，旨在提供全面的企业级云ERP整体解决方案。

漏洞危害：

用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

影响范围：

用友网络科技股份有限公司 U8 Cloud

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

3.Ollama未授权访问漏洞

漏洞介绍：

Ollama是一个开源的大语言模型（LLM）运行环境和工具集，旨在帮助开发者轻松部署、管理和使用模型（如 DeepSeek 等）。

漏洞危害：

Ollama存在未授权访问漏洞，攻击者可利用该漏洞访问Ollama服务器，执行包括但不限于显示有关模型的详细信息、生成文本、拉取和删除模型操作，导致潜在的数据泄露与资源滥用。

影响范围：

Ollama Ollama

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

4.Google Chrome代码执行漏洞

漏洞介绍：

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

漏洞危害：

Google Chrome存在代码执行漏洞，该漏洞是由V8中的越界内存访问引起的。攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号：

CVE-2025-0998

影响范围：

Google Chrome <133.0.6943.98

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END