信息安全漏洞周报【第021期】
信息安全漏洞周报【第021期】
零零捌信安观察 银天信息 2025-05-09 10:25
点击蓝字 关注我们
零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。
目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。
收录的漏洞详细信息如下:
1、科FoxCMS Field.php文件SQL注入漏洞
|
公开时间 |
2025-05-07 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-09239 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
|
FoxCMS是中国黔狐(FoxCMS)公司的一套可免费商用开源的内容管理系统。FoxCMS 1.25及之前版本存在SQL注入漏洞,该漏洞源于/admin/util/Field.php中$param[title]参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。 |
||
|
影响产品 |
FoxCMS FoxCMS <=1.25 |
||
|
解决方案 |
厂商尚未提供漏洞修复方案,请关注厂商主页更新: |
||
|
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2025-29181 |
||
2、Moodle跨站请求伪造漏洞
****
|
公开时间 |
2025-05-08 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-09236 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
|
Moodle是Moodle开源的一套免费的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。Moodle存在跨站请求伪造漏洞,该漏洞源于Brickfield工具的分析请求操作缺少防跨站请求伪造的令牌。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。 |
||
|
|
moodle Moodle |
||
|
|
厂商已发布了漏洞修复程序,请及时关注更新: |
||
| 参考链接 |
|
||
**3、WordPress插件abcsubmit代码注入漏洞
****
|
公开时间 |
2025-05-06 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2025-09063 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
|
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress插件abcsubmit 1.2.4及之前版本存在代码注入漏洞,该漏洞源于未正确验证值,攻击者可利用此漏洞导致任意代码执行。 |
||
| 影响产品 |
WordPress abcsubmit plugin <=1.2.4 |
||
| 解决方案 |
厂商已发布了漏洞修复程序,请及时关注更新: |
||
|
参考链接 |
无 |
||
服务热线:
400-996-5191
供稿:肖 杰
编校:周晶晶
审核:李孔民