上周关注度较高的产品安全漏洞(20250630-20250706)

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247496107&idx=2&sn=71bebd5f56bafd09a7b0d3e2b1d3c056

上周关注度较高的产品安全漏洞(20250630-20250706)

原创 CNVD CNVD漏洞平台 2025-07-07 09:36

一、境外厂商产品漏洞

1、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-14513

Adobe Experience Manager是Adobe公司推出的一款综合性内容管理解决方案。

Adobe Experience Manager存在跨站脚本漏洞,该漏洞源于表单字段对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14513

2、Autel MaxiCharger AC Wallbox Commercial权限提升漏洞

Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。Autel MaxiCharger AC Wallbox Commercial存在权限提升漏洞,攻击者可利用该漏洞将权限升级到通常受用户保护的资源。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14950

3、WordPress插件3D FlipBook跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress插件FlipBook 1.16.15及之前版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞在页面中注入任意web脚本,这些脚本将在用户访问注入的页面时执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14955

4、Adobe Experience Manager跨站脚本漏洞

Adobe Experience Manager是Adobe公司推出的一款综合性内容管理解决方案。Adobe Experience Manager存在跨站脚本漏洞,该漏洞源于表单字段存储型跨站脚本漏洞,攻击者可利用该漏洞导致恶意脚本执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14512

5、Autel MaxiCharger AC Wallbox Commercial信息泄露漏洞

Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。Autel MaxiCharger AC Wallbox Commercial存在信息泄露漏洞,攻击者可利用该漏洞导致信息泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14952

二、境内厂商产品漏洞

1、北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞

网动统一通信平台是一款综合性的通信平台,旨在提升用户的沟通效率和便利性,提供一个统一的通信环境‌‌。北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14197

2、Growatt Cloud Applications信息泄露漏洞(CNVD-2025-14965)

Growatt Cloud Applications是中国古瑞瓦特(Growatt)公司的一个监控平台。Growatt Cloud Applications 3.6.0及之前版本存在信息泄露漏洞,未经身份验证的攻击者可利用该漏洞获取其他用户的电动汽车充电器能耗信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14965

3、北京神州视翰科技有限公司远程医疗综合服务平台存在SQL注入漏洞

北京神州视翰科技有限公司成立于2010年,是一家专注于智慧医院、商业智能屏、智慧教育等领域的信息化产品和方案解决商。北京神州视翰科技有限公司远程医疗综合服务平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14087

4、用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞

用友U8Cloud是一款企业级ERP,用于协助企业实现业务协同和流程管理的高效化和数字化。用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14404

5、北京超图软件股份有限公司SuperMap iServer存在命令执行漏洞

SuperMap iServer是基于高性能跨平台GIS内核的云GIS应用服务器,提供全功能的GIS服务发布、管理与聚合能力,并支持多层次的扩展开发。北京超图软件股份有限公司SuperMap iServer存在命令执行漏洞,攻击者可利用漏洞执行命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-14393

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。