上周关注度较高的产品安全漏洞(20250519-20250525)

发布于 作者:

上周关注度较高的产品安全漏洞(20250519-20250525)

原创 CNVD CNVD漏洞平台 2025-05-26 08:28

一、境外厂商产品漏洞

1、Google Chrome安全绕过漏洞(CNVD-2025-10056)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 136.0.7103.59之前版本存在安全绕过漏洞,该漏洞源于DevTools中的数据验证不足,攻击者可利用该漏洞导致绕过访问控制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10056

2、Microsoft Excel代码执行漏洞(CNVD-2025-10452)

Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10452

3、Apache OFBiz跨站脚本漏洞(CNVD-2025-10035)

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.19之前版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10035

4、Microsoft Excel代码执行漏洞(CNVD-2025-10451)

Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,该漏洞是由于堆缓冲区溢出引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10451

5、Apache Kylin代码注入漏洞

Apache Kylin是一个开源的分布式分析引擎,旨在提供 SQL 接口以及为超大型数据集的Hadoop和Alluxio的多维分析提供支持。Apache Kylin 4.0.0版本至5.0.1版本存在代码注入漏洞,远程攻击者可利用该漏洞可以提交特殊的请求,可以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10037

二、境内厂商产品漏洞

1、新华三技术有限公司H3C Magic R3010千兆双频Wi-Fi 6路由器存在逻辑缺陷漏洞


新华三技术有限公司是一家全球领先的数字化解决方案领导者。新华三技术有限公司H3C Magic R3010千兆双频Wi-Fi 6路由器存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-09455

2、郑州简信软件科技有限公司简信CRM存在SQL注入漏洞

郑州简信软件科技有限公司是中国专业的企业管理平台和生态式企业服务提供商,专注于企业级管理软件(CRM/HRM/OA/ERP等)的营销、咨询、研究、实施、培训、服务,致力于为全球企业提供一站式数字化服务解决方案。郑州简信软件科技有限公司简信CRM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10241

3、新华三技术有限公司H3C M60存在未授权访问漏洞

H3C M60是新华三推出的新一代企业级高性能无线AP管理器。新华三技术有限公司H3C M60存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10249

4、Huawei HarmonyOS缓冲区溢出漏洞(CNVD-2025-10520)

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在缓冲区溢出漏洞,攻击者可利用该漏洞影响可用性。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10520

5、北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞

北京北大方正电子有限公司是一家在印刷、传媒、出版、字库等领域具有领先地位的技术和服务提供商。北京北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-10118

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。