2025年11月10日-2025年11月16日网络产品安全漏洞报告
漏洞安全告警
1.Dell产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致认证绕过,导致信息泄露,导致命令注入和权限提升等。
CNVD收录的相关漏洞包括:Dell Unity操作系统命令注入漏洞(CNVD-2025-27582、CNVD-2025-27581、CNVD-2025-27583、CNVD-2025-27585、CNVD-2025-27584、CNVD-2025-27586)、Dell Storage Manager不当认证漏洞、DELL SupportAssist OS Recovery信息泄露漏洞。其中,“Dell Storage Manager不当认证漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27582
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27581
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27583
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27585
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27584
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27586
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27588
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27587
2.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制请求访问和修改文件系统,执行任意代码或命令,发起拒绝服务攻击,导致权限提升等。
CNVD收录的相关漏洞包括:Fortinet FortiClientMAC资源管理错误漏洞、Fortinet FortiClientMac代码注入漏洞、fortinet FortiVoice操作系统命令注入漏洞、fortinet FortiAnalyzer授权问题漏洞、Fortinet FortiSandbox操作系统命令注入漏洞、Fortinet FortiADC跨站脚本漏洞(CNVD-2025-27463)、Fortinet FortiManager和Fortinet FortiManager Cloud命令注入漏洞、Fortinet FortiWeb路径遍历漏洞。其中,除“Fortinet FortiClientMAC资源管理错误漏洞、fortinet FortiAnalyzer授权问题漏洞、Fortinet FortiADC跨站脚本漏洞(CNVD-2025-27463)”外其余漏洞的综合评分为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27452
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27451
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27454
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27453
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27464
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27463
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27462
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27461
3.NVIDIA产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致拒绝服务、权限提升、代码执行和数据篡改等。
CNVD收录的相关漏洞包括:NVIDIA Display Driver代码问题漏洞、NVIDIA Megatron-LM代码注入漏洞(CNVD-2025-27623、CNVD-2025-27624)、NVIDIA vGPU资源管理错误漏洞、NVIDIA Base Command Manager身份验证错误漏洞、NVIDIA nvJPEG2000缓冲区溢出漏洞、NVIDIA RAPIDS代码问题漏洞、NVIDIA GPU Display Driver缓冲区溢出漏洞(CNVD-2025-27631)。其中,“NVIDIA Base Command Manager身份验证错误漏洞、NVIDIA nvJPEG2000缓冲区溢出漏洞、NVIDIA GPU Display Driver缓冲区溢出漏洞(CNVD-2025-27631)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27448
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27623
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27625
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27624
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27630
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27629
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27628
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27631
4.QNAP产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取意外文件或系统数据,执行命令,导致拒绝服务。
CNVD收录的相关漏洞包括:QNAP QTS和QuTS hero空指针取消引用漏洞(CNVD-2025-27560、CNVD-2025-27562、CNVD-2025-27564、CNVD-2025-27563、CNVD-2025-27565、CNVD-2025-27566)、QNAP QTS和QuTS hero路径遍历漏洞(CNVD-2025-27802)、QNAP QTS和QuTS hero操作系统命令注入漏洞。其中,“QNAP QTS和QuTS hero操作系统命令注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27560
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27562
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27564
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27563
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27565
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27566
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27802
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27828
5.Tenda AC8 DatabaseIniSet文件缓冲区溢出漏洞
本周,Tenda AC8被披露存在缓冲区溢出漏洞,该漏洞源于对/goform/DatabaseIniSet文件中Time参数进行操纵时未正确验证输入长度。攻击者可利用该漏洞导致执行任意代码或系统崩溃。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27899
本周重要漏洞攻击验证情况
1.Travel Management System enquiry.php文件SQL注入漏洞
验证描述
Travel Management System是一个差旅管理系统。
Travel Management System存在SQL注入漏洞,该漏洞源于文件/enquiry.php中参数t2缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/JunGu-W/cve/issues/7
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-27891
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/V-5xl11Bzira_Psgx5DWpw)