2025年10月27日-2025年11月2日网络产品安全漏洞报告
漏洞安全告警
1.Apple产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致数据泄露,导致进程崩溃,导致系统受到控制,进而执行任意代码。
CNVD收录的相关漏洞包括:Apple Xcode访问控制不当漏洞、Apple Xcode拒绝服务漏洞、Apple MacOS拒绝服务漏洞(CNVD-2025-25572、CNVD-2025-25571)、Apple MacOS权限提升漏洞、Apple macOS Sonoma越界读取漏洞、Apple macOS Sonoma权限问题漏洞、Apple macOS Sequoia信息泄露漏洞。其中,“Apple MacOS权限提升漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25566
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25568
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25572
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25571
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25574
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25575
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25576
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25577
2.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致欺骗攻击,提升权限,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft 365 Copilot Business Chat欺骗漏洞(CNVD-2025-25468、CNVD-2025-25467)、Microsoft Azure Cache for Redis Enterprise权限提升漏洞、Microsoft Azure Monitor代码问题漏洞、Microsoft Azure Monitor访问控制错误漏洞、Microsoft Azure Monitor跨站脚本漏洞(CNVD-2025-25477)、Microsoft Inbox COM Objects代码执行漏洞(CNVD-2025-25713、CNVD-2025-25712)。其中,“Microsoft 365 Copilot Business Chat欺骗漏洞(CNVD-2025-25468、CNVD-2025-25467)、Microsoft Azure Cache for Redis Enterprise权限提升漏洞”漏洞的综合评分为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25467
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25468
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25470
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25479
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25478
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25477
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25712
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25713
3.F5产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞对BIG-IP系统发起拒绝服务攻击,造成流量中断并导致TMM进程重启等。
CNVD收录的相关漏洞包括:F5 BIG-IP SSL/TLS配置文件拒绝服务漏洞、F5 BIG-IP TMM模块拒绝服务漏洞、F5 BIG-IP SSL/TLS拒绝服务漏洞、F5 BIG-IP TMM拒绝服务漏洞、F5 BIG-IP ePVA拒绝服务漏洞、F5 BIG-IP权限提升漏洞、F5 BIG-IP IPsec拒绝服务漏洞、F5 BIG-IP SSL Orchestrator内存损坏漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25366
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25365
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25371
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25370
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25368
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25374
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25373
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25372
4.IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感用户信息泄露,通过发送特制请求耗尽服务器内存资源,导致服务中断,通过特制输入在系统上执行任意命令并提升权限等。
CNVD收录的相关漏洞包括:IBM Aspera信息泄露漏洞(CNVD-2025-25473)、IBM Aspera Faspex输入验证错误漏洞、IBM WebSphere Application Server拒绝服务漏洞(CNVD-2025-26073)、IBM InfoSphere Information Server操作系统命令注入漏洞(CNVD-2025-26072)、IBM License Metric Too访问控制错误漏洞、IBM License Metric Tool跨站脚本漏洞、IBM Jazz Foundation文件上传漏洞、IBM Jazz for Service Management安全特征问题漏洞。其中,“IBM InfoSphere Information Server操作系统命令注入漏洞(CNVD-2025-26072)、IBM Jazz Foundation文件上传漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25473
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25472
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26073
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26072
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26071
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26070
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26075
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26074
5.D-Link DI-8400 yyxz.asp文件堆栈缓冲区溢出漏洞
本周,D-Link DI-8400被披露存在堆栈缓冲区溢出漏洞,该漏洞源于文件/yyxz.asp的函数yyxz_dlink_asp的参数ID基于堆栈的缓冲区溢出,攻击者可利用该漏洞导致任意代码执行、未经授权的设备控制、敏感信息窃取或拒绝服务攻击。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25750
本周重要漏洞攻击验证情况
1.Online Shopping System /store/cart_add.php文件SQL注入漏洞
验证描述
Online Shopping System是一个在线购物系统。
Online Shopping System存在SQL注入漏洞,该漏洞源于文件/store/cart_add.php中参数ID缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/underatted/CVE/issues/5
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-25379
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/osQ_WLCxMbtKWvyWNUaLIA)