上周关注度较高的产品安全漏洞(20250602-20250608)

发布于 作者:

上周关注度较高的产品安全漏洞(20250602-20250608)

原创 CNVD CNVD漏洞平台 2025-06-09 09:41

一、境外厂商产品漏洞

1、Google Chrome越界读写漏洞

Google Chrome是由谷歌公司开发的网页浏览器。Google Chrome存在越界读写漏洞,该漏洞源于V8引擎中的越界读写问题,攻击者可利用漏洞通过恶意网页触发漏洞,绕过沙箱防护实现远程代码执行,完全控制用户设备。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11252

2、NVIDIA GPU Display Driver for Linux特权提升漏洞

NVIDIA GPU Display Driver for Linux是一款GPU显示驱动程序。NVIDIA GPU Display Driver for Linux存在特权提升漏洞,攻击者可利用该漏洞提交特殊的请求,执行任意代码,权限提升等。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11395

3、JetBrains TeamCity日志信息泄露漏洞

JetBrains TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains TeamCity存在日志信息泄露漏洞,该漏洞源于构建日志中暴露base64编码的凭据。攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11404

4、Google Chrome资源管理错误漏洞(CNVD-2025-11249)

Google Chrome是一款由Google公司开发的WEB浏览器。Google Chrome存在资源管理错误漏洞,该漏洞源于释放后重用,攻击者可利用该漏洞提交特殊的Web请求,诱使用户解析,执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11249

5、JetBrains Toolbox App命令注入漏洞

JetBrains Toolbox App是一款用于管理JetBrains开发工具的应用程序,提供安装、更新和管理功能。JetBrains Toolbox App存在命令注入漏洞,该漏洞源于SSH插件处理输入不当。攻击者可利用该漏洞通过构造恶意命令执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11426

二、境内厂商产品漏洞

1、统信软件技术有限公司畅写在线存在未授权访问漏洞

‌统信软件技术有限公司是中国领先的国产操作系统研发企业。统信软件技术有限公司畅写在线存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11886

2、D-Link DIR-823X命令注入漏洞(CNVD-2025-11330)

D-Link DIR-823X是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-823X存在命令注入漏洞,该漏洞源于/goform/set_prohibiting未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11330

3、WAVLINK WN531P3硬编码漏洞

WAVLINK WN531P3是中国睿因科技(WAVLINK)公司开发的一款路由器。WAVLINK WN531P3存在硬编码漏洞,攻击者可利用该漏洞提交特殊的请求,以root身份访问系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11303

4、D-Link DIR-832x 0x42232c函数命令注入漏洞

D-Link DIR-832x是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-832x存在命令注入漏洞,该漏洞源于macaddr键值和函数0x42232c未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11316

5、WAVLINK WN551K1 live_check.shtml接口信息泄露漏洞

WAVLINK WN551K1是中国睿因科技(WAVLINK)公司的一个无线路由器。WAVLINK WN551K1存在信息泄露漏洞,该漏洞源于live_check.shtml接口存在不当的授权,攻击者可利用该漏洞获取敏感的路由器信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-11310

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。