信息安全漏洞周报【第024期】

发布于 作者:

信息安全漏洞周报【第024期】

零零捌信安观察 银天信息 2025-05-30 07:40

图片

点击蓝字 关注我们

图片

零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。

目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。

收录的漏洞详细信息如下:

1、 Huawei HarmonyOS和EMUI安全绕过漏洞

公开时间

2025-0523 

风险等级

高危

漏洞编号

CNVD-2025-10512

漏洞来源

CNVD

漏洞信息
漏洞描述
Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是一个操作系统。提供一个基于微内核的全场景分布式操作系统。 Huawei HarmonyOS和EMUI存在安全绕过漏洞,该漏洞源于安全验证模块存在访问控制错误,攻击者可利用该漏洞影响完整性和机密性

影响产品

Huawei HarmonyOS 4.0.0

Huawei EMUI 14.0.0
Huawei HarmonyOS 4.3.0

解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://consumer.huawei.com/en/support/bulletin/2025/4/

参考链接

https://consumer.huawei.com/en/support/bulletin/2025/4/

2、 Tenda AX1806堆栈溢出漏洞

公开时间

2025-05-26

风险等级

高危

漏洞编号

CNVD-2025-10601

漏洞来源

CNVD

漏洞信息
漏洞描述
Tenda AX1806是中国腾达(Tenda)公司的一个WiFi6无线路由器。Tenda AX1806存在堆栈溢出漏洞,该漏洞源于函数formGetIptv中的iptv.stb.mode参数包含堆栈溢出,目前没有详细的漏洞细节提供。
影响产品

Tenda AX1806 1.0.0.1
解决方案

目前厂商尚未发布升级程序修复该安全问题,详情见厂商官网:https://www.tenda.com.cn/
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2024-44553

**3、ZTE GoldenDB DDE注入漏洞

****

公开时间

2025-0529

风险等级

高危

漏洞编号

CNVD-2025-10855

漏洞来源

CNVD

漏洞信息
    漏洞描述

ZTE GoldenDB是中国中兴通讯(ZTE)公司的一款金融级交易型分布式数据库。用于金融、政企、电信等行业,提供高可用数据服务
ZTE GoldenDB存在DDE注入漏洞,攻击者可利用该漏洞通过接口注入DDE表达式,当用户下载并打开受影响的文件时,可以执行DDE命令。
影响产品

ZTE ZXCLOUD GoldenDB >=6.1.03,<=6.1.03.10
ZTE ZXCLOUD GoldenDB 7.2.01.01
ZTE ZXCLOUD GoldenDB Lite7.2.01.01
解决方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://support.zte.com.cn/zte-iccp-isupport-webui/bulletin/detail/1036467615091601474

参考链接

https://support.zte.com.cn/zte-iccp-isupport-webui/bulletin/detail/1036467615091601474

服务热线

400-996-5191

供稿:邹聪成

编校:周晶晶

审核:李孔民