漏洞安全告警
1.IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过身份验证后执行未授权操作,通过注入精心设计的有效载荷执行任意Web脚本或HTML,通过发送恶意构造的请求,导致服务器内存资源耗尽等。
CNVD收录的相关漏洞包括:IBM Informix Dynamic Server跨站脚本漏洞、IBM Db2 Mirror for i授权问题漏洞、IBM Operations Analytics-Log Analysis跨站脚本漏洞、IBM Db2拒绝服务漏洞(CNVD-2025-18013)、IBM Aspera Faspex访问控制错误漏洞、IBM Db2 Mirror for i访问控制错误漏洞、IBM Cloud Pak for Business Automation授权问题漏洞、IBM WebSphere Application Server Liberty资源管理错误漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18009
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18015
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18014
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18013
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18011
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18016
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18591
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18590
2.Mozilla产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,绕过已实施的安全限制,实现任意代码执行等。
CNVD收录的相关漏洞包括:Mozilla Firefox内存破坏漏洞(CNVD-2025-18674、CNVD-2025-18679)、Mozilla VPN权限提升漏洞、Mozilla Thunderbird资源管理错误漏洞(CNVD-2025-18677、CNVD-2025-18680)、Mozilla Firefox信息泄露漏洞、Mozilla Firefox条件竞争漏洞(CNVD-2025-18681)、Mozilla Firefox缓冲区溢出漏洞(CNVD-2025-18682)。其中,除“Mozilla Thunderbird资源管理错误漏洞(CNVD-2025-18677)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18674
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18672
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18677
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18675
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18681
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18680
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18679
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18682
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致在受害者浏览器中执行恶意Javascript代码。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2025-18018、CNVD-2025-18017、CNVD-2025-18022、CNVD-2025-18021、CNVD-2025-18020、CNVD-2025-18019、CNVD-2025-18024、CNVD-2025-18023)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18018
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18017
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18022
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18021
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18020
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18019
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18024
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18023
4.DELL产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露或信息篡改,导致任意命令执行等。
CNVD收录的相关漏洞包括:Dell Unity svc_nas实用程序操作系统命令注入漏洞、Dell SmartFabric OS10 Software代码问题漏洞、Dell Unity跨站脚本漏洞(CNVD-2025-18244)、Dell Unity svc_nfssupport实用程序操作系统命令注入漏洞、Dell Avamar SQL注入漏洞(CNVD-2025-18249、CNVD-2025-18250)、Dell AppSync注入漏洞、Dell AppSync文件上传漏洞。其中,“Dell SmartFabric OS10 Software代码问题漏洞、Dell Avamar SQL注入漏洞(CNVD-2025-18249、CNVD-2025-18250)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18242
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18245
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18244
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18243
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18249
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18247
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18246
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18250
5.D-Link DIR-615H1命令注入漏洞
本周,D-Link DIR-615H1被披露存在命令注入漏洞,该漏洞源于tools_vct.htm端点输入清理不足,攻击者可利用该漏洞导致远程代码执行。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18478
本周重要漏洞攻击验证情况
1.Login and User Management System SQL注入漏洞
验证描述
Login and User Management System是一个登录和用户管理系统。
Login and User Management System存在SQL注入漏洞,该漏洞源于/admin/yesterday-reg-users.php文件中未对ID参数进行安全过滤。攻击者可利用该漏洞通过构造恶意ID参数远程执行SQL注入攻击,窃取或篡改数据库信息。
验证信息
POC链接:
https://github.com/secfake/mycve/issues/3
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-18025
(来源:"网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/AIeRJnG08e_BAfh5goh7zA)