上周关注度较高的产品安全漏洞(20250421-20250427)

发布于 作者:

上周关注度较高的产品安全漏洞(20250421-20250427)

原创 CNVD CNVD漏洞平台 2025-04-28 08:43

一、境外厂商产品漏洞

1、TOTOLINK A6000R action_passwd命令注入漏洞

TOTOLINK A6000R
是一款性能卓越的无线路由器,采用先进的技术和设计
,
为用户提供出色的网络体验。
TOTOLINK A6000R action_passwd
函数处理
newpasswd
参数存在安全漏洞,远程攻击者可利用该漏洞提交特殊的请求,可以应用程序上下文执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07818

2、Siemens TeleControl Server Basic SQL注入漏洞(CNVD-2025-08367)

Siemens TeleControl Server Basic
是德国西门子(
Siemens
)公司的一个工业远程控制器。
Siemens TeleControl Server Basic
存在
SQL
注入漏洞,该漏洞源于
GetLogs
方法存在
SQL
注入,攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08367

3、Siemens TeleControl Server Basic SQL注入漏洞(CNVD-2025-08368)

Siemens TeleControl Server Basic
是德国西门子(
Siemens
)公司的一个工业远程控制器。
Siemens TeleControl Server Basic
存在
SQL
注入漏洞,该漏洞源于
CreateBackup
方法存在
SQL
注入,攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08368

4、Siemens TeleControl Server Basic SQL注入漏洞

Siemens TeleControl Server Basic
是德国西门子(
Siemens
)公司的一个工业远程控制器。
Siemens TeleControl Server Basic
存在
SQL
注入漏洞,该漏洞源于内部方法
UpdateBufferingSettings
存在
SQL
注入,攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08349

5、Siemens TeleControl Server Basic SQL注入漏洞(CNVD-2025-08364)

Siemens TeleControl Server Basic
是德国西门子(
Siemens
)公司的一个工业远程控制器。
Siemens TeleControl Server Basic
存在
SQL
注入漏洞,该漏洞源于
ImportCertificate
方法存在
SQL
注入,攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08364

二、境内厂商产品漏洞

1、科大讯飞(北京)有限公司科大讯飞智慧云平台存在SQL注入漏洞


科大讯飞(北京)有限公司是一家主要从事技术开发、技术推广、技术转让、技术咨询、技术服务等业务

的公司。科大讯飞(北京)有限公司科大讯飞智慧云平台存在
SQL
注入漏洞,攻击者可利用该漏洞获取数据库敏感信息

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07994

2、北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞

北京北大方正电子有限公司是一家在印刷、传媒、出版、字库等领域具有领先地位的技术和服务提供商。北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在
SQL
注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08014

3、北京亚控科技发展有限公司KingH5Stream存在未授权访问漏洞

北京亚控科技发展有限公司是一家工业自动化和信息化软件平台高科技企业,专注于国产工业软件自主研发、营销和服务。北京亚控科技发展有限公司
KingH5Stream
存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

h
ttps://www.cnvd.org.cn/flaw/show/CNVD-2025-03868

4、青岛东胜伟业软件有限公司东胜订舱平台存在逻辑缺陷漏洞

青岛东胜伟业软件有限公司是一家主要业务包括计算机软件开发、网络工程设计、网页设计、综合布线、软件技术服务、电子设备的安装与维护及技术服务、物流信息服务等的公司。青岛东胜伟业软件有限公司东胜订舱平台存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08032

5、北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞

北京网动网络科技股份有限公司是全球领先的云视讯解决方案及服务提供商‌。北京网动网络科技股份有限公司网动统一通信平台存在
SQL
注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08026

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。