上周关注度较高的产品安全漏洞(20250414-20250420)

发布于 作者:

上周关注度较高的产品安全漏洞(20250414-20250420)

金瀚信安 2025-04-25 06:36

一、境外厂商产品漏洞

1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325)

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该漏洞导致BIG-IP系统上的拒绝服务(DoS)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07325

2、Adobe ColdFusion访问控制不漏洞

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在访问控制不漏洞,攻击者可利用此漏洞读取任意文件系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07251

3、Microsoft Visual Studio权限提升漏洞

Microsoft Visual Studio是美国微软公司的开发工具包系列产品,是一个基本完整的开发工具集。Microsoft Visual Studio存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07785

4
、Google Android权限提升漏洞(CNVD-2025-07522)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于程序未进行权限检查,攻击者可利用该漏洞在无需用户同意的情况下获得权限并提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07522

5、F5 BIG-IP远程命令注入漏洞

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在远程命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞穿越安全边界。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07328

二、境内厂商产品漏洞

1、用友网络科技股份有限公司用友NC存在SQL注入漏洞

‌用友NC是一款面向大型企业的综合性企业管理软件。用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07567

2、天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞

天融信科技集团股份有限公司是一家专注于网络安全和云计算解决方案的高科技企业。‌天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07565

3、上海上讯信息技术股份有限公司运维管理审计系统存在命令执行漏洞

上海上讯信息技术股份有限公司(以下简称“上讯信息”),是数据、智能安全运维、移动安全、安全服务等领域国内领先供应商之一。上海上讯信息技术股份有限公司运维管理审计系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07703

4、Tenda AC10栈溢出漏洞

Tenda AC10是一款家用无线路由器,提供无线网络连接和管理功能。Tenda AC10存在栈溢出漏洞。该漏洞源于/goform/ShutdownSetAdd文件中ShutdownSetAdd函数对list参数的处理不当。攻击者可利用该漏洞远程发起攻击,实现栈溢出进而执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07177

5、Tenda AC7缓冲区溢出漏洞(CNVD-2025-07593)

Tenda AC7是中国腾达(Tenda)公司的一款无线路由器。Tenda AC7存在缓冲区溢出漏洞,该漏洞源于form_fast_setting_wifi_set函数的timeZone参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07593

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。