2025年11月3日-2025年11月9日网络产品安全漏洞报告
漏洞安全告警
1.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Exchange Server权限提升漏洞(CNVD-2025-26717、CNVD-2025-26722)、Microsoft PowerPoint代码执行漏洞(CNVD-2025-26719、CNVD-2025-26723)、Microsoft Office Visio代码执行漏洞、Microsoft Sharepoint远程代码执行漏洞(CNVD-2025-26724)、Microsoft Office代码执行漏洞(CNVD-2025-26726、CNVD-2025-26728)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26717
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26719
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26723
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26722
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26725
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26724
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26726
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26728
2.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,导致拒绝服务。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2025-26729、CNVD-2025-26730、CNVD-2025-26731、CNVD-2025-26732、CNVD-2025-26882、CNVD-2025-26884)、Google Android拒绝服务漏洞(CNVD-2025-26795、CNVD-2025-26881)。其中,“Google Android权限提升漏洞(CNVD-2025-26882)”漏洞的综合评分为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26729
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26730
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26731
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26732
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26795
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26881
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26882
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26884
3.Delta Electronics产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或导致系统崩溃等。
CNVD收录的相关漏洞包括:Delta Electronics DIAScreen越界写入漏洞(CNVD-2025-26896、CNVD-2025-26897、CNVD-2025-26898、CNVD-2025-26899)、Delta Electronics ASDA-Soft堆栈缓冲区溢出漏洞(CNVD-2025-26911、CNVD-2025-26912)、Delta Electronics DTM代码问题漏洞、Delta Electronics DRASimuCAD类型混淆漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26896
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26897
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26898
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26899
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26911
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26912
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26914
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26915
4.Mozilla产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,进行欺骗攻击,在系统上执行任意代码或导致拒绝服务。
CNVD收录的相关漏洞包括:Mozilla Firefox代码执行漏洞(CNVD-2025-26886、CNVD-2025-26889)、多款Mozilla产品欺骗漏洞(CNVD-2025-26890)、多款Mozilla产品代码执行漏洞(CNVD-2025-26891、CNVD-2025-26893、CNVD-2025-26894)、多款Mozilla产品欺骗漏洞(CNVD-2025-26892)、多款Mozilla产品安全绕过漏洞(CNVD-2025-26895)。其中,除“多款Mozilla产品欺骗漏洞(CNVD-2025-26890)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26886
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26889
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26890
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26891
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26892
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26893
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26894
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26895
5.TP-LINK AX10信息泄露漏洞
本周,TP-LINK AX10被披露存在信息泄露漏洞,该漏洞是由于敏感信息明文传输缺陷引起的。攻击者可利用该漏洞获取敏感信息。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26878
本周重要漏洞攻击验证情况
1.Tenda O3缓冲区溢出漏洞(CNVD-2025-26876)
验证描述
Tenda O3是中国腾达(Tenda)公司的一个室外无线网桥。
Tenda O3存在缓冲区溢出漏洞,该漏洞源于文件/goform/sysAutoReboot中函数SetValue/GetValue的参数enable未能正确验证输入数据的长度大小,攻击者可利用该漏洞导致堆栈溢出。
验证信息
POC链接:
https://github.com/noahze01/IoT-vulnerable/blob/main/Tenda/O3v2.0/sysAutoReboot.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-26876
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/x8a84ylA4_1bPMemyd585w)