上周关注度较高的产品安全漏洞(20250407-20250413)

发布于 作者:

上周关注度较高的产品安全漏洞(20250407-20250413)

原创 CNVD CNVD漏洞平台 2025-04-14 10:10

一、境外厂商产品漏洞

1、IBM Sterling File Gateway信息泄漏漏洞(CNVD-2025-06655)

IBM Sterling File Gateway是美国国际商业机器(IBM)公司的一套文件传输软件。该软件可整合不同的文件传输活动中心,并帮助基于文件的数据通过因特网实现安全交换。IBM Sterling File Gateway 6.0.0.0至6.1.2.6版本和6.2.0.0至6.2.0.3版本存在信息泄漏漏洞,该漏洞源于应用对于敏感信息保护不足,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06655

2、IBM Control Center输入验证错误漏洞(CNVD-2025-06654)

IBM Control Center是美国国际商业机器(IBM)公司的一个集中式监控和管理系统。IBM Control Center 6.2.1至6.3.1版本存在输入验证错误漏洞,该漏洞源于用户输入验证不当,攻击者可利用该漏洞诱导应用程序执行服务器端DNS查询或HTTP请求。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06654

3、Dell Unity OS命令注入漏洞(CNVD-2025-06622)

Dell Unity是美国戴尔(Dell)公司的一套虚拟Unity存储环境。Dell Unity 5.4及之前版本存在OS命令注入漏洞,攻击者可利用此漏洞在系统上执行任意操作系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06622

4、IBM Aspera Shares XML外部实体注入漏洞(CNVD-2025-06646)

IBM Aspera Shares是美国国际商业机器(IBM)公司的一个Web应用程序。IBM Aspera Shares 1.9.9至1.10.0 PL7版本存在XML外部实体注入漏洞,该漏洞源于网络系统或产品未设置正确的过滤允许引用外部实体,攻击者可利用该漏洞暴露敏感信息或消耗内存资源。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06646

5、Cisco IOS XR数据伪造问题漏洞

Cisco IOS XR是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XR存在数据伪造问题漏洞,该漏洞源于软件加载过程中模块验证不足,攻击者可利用该漏洞启动任意功能。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06645

二、境内厂商产品漏洞

1、用友网络科技股份有限公司数据应用服务器存在SQL注入漏洞


用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商,也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。用友网络科技股份有限公司数据应用服务器存在SQL注入漏洞,攻击者可利用该漏洞导致命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06633

2、Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2025-06626)

Delta Electronics DIAEnergie是中国台湾台达电子(Delta Electronics)公司的一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。Delta Electronics DIAEnergie v1.10.00.005之前版本存在SQL注入漏洞,攻击者可利用该漏洞查看、添加、修改或删除后端数据库中的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06626

3、北京镜舟科技有限公司StarRocks存在未授权访问漏洞

StarRocks是新一代极速全场景MPP数据库。北京镜舟科技有限公司StarRocks存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07024

4、TOTOLINK CP900L setMacFilterRules函数堆栈溢出漏洞

TOTOLINK CP900L是中国吉翁电子(TOTOLINK)公司的一个无线路由器。TOTOLINK CP900L v4.1.5cu.798_B20221228版本存在堆栈溢出漏洞,该漏洞源于函数setMacFilterRules中的desc参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06864

5、D-Link DI-8100 ipsec_road_asp函数缓冲区溢出漏洞

D-Link DI-8100是中国友讯(D-Link)公司的一款专为中小型网络环境设计的无线宽带路由器。D-Link DI-8100 16.07.26A1版本存在缓冲区溢出漏洞,该漏洞源于ipsec_road_asp函数中的host_ip参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06862

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。