雷神众测漏洞周报2025.4.7-2025.4.13
雷神众测漏洞周报2025.4.7-2025.4.13
原创 雷神众测 雷神众测 2025-04-14 09:51
摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Langflow存在远程代码执行漏洞
2.Dell Unity操作系统命令注入漏洞
3.IBM Aspera Shares XML外部实体注入漏洞
4.IBM InfoSphere Information Server授权问题漏洞
漏洞详情
1.Langflow存在远程代码执行漏洞
漏洞介绍:
Langflow是一款创新工具,旨在通过动态图系统简化AI应用程序的创建和部署。
漏洞危害:
Langflow存在远程代码执行漏洞(CVE-2025-3248),未经认证的远程攻击者可以构造恶意的HTTP请求,从而执行任意代码。
漏洞编号:
CVE-2025-3248
影响范围:
Langflow < 1.3.0
修复方案:
及时测试并升级到最新版本或升级版本
来源:
安恒信息CERT
2.Dell Unity操作系统命令注入漏洞
漏洞介绍:
Dell Unity是美国戴尔(Dell)公司的一套虚拟Unity存储环境。
漏洞危害:
Dell Unity 5.4及之前版本存在操作系统命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。
漏洞编号:
CVE-2024-49601
影响范围:
DELL Dell Unity <=5.4
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
3.IBM Aspera Shares XML外部实体注入漏洞
漏洞介绍:
IBM Aspera Shares是美国国际商业机器(IBM)公司的一个Web应用程序。
漏洞危害:
IBM Aspera Shares 1.9.9至1.10.0 PL7版本存在XML外部实体注入漏洞,该漏洞源于网络系统或产品未设置正确的过滤允许引用外部实体,攻击者可利用该漏洞暴露敏感信息或消耗内存资源。
漏洞编号:
CVE-2025-0162
影响范围:
IBM IBM Aspera Shares >=1.9.9,<=1.10.0 PL7
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
4.IBM InfoSphere Information Server授权问题漏洞
漏洞介绍:
IBM InfoSphere Information Server是美国国际商业机器(IBM)公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。
漏洞危害:
IBM InfoSphere Information Server 11.7版本存在授权问题漏洞,该漏洞源于权限处理不当,攻击者可利用该漏洞执行特权命令。
漏洞编号:
CVE-2024-51459
影响范围:
IBM IBM InfoSphere Information Server 11.7
修复方案:
及时测试并升级到最新版本或升级版本
来源:
CNVD
专注渗透测试技术
全球最新网络攻击技术
END