2025年12月15日-2025年12月21日网络产品安全漏洞报告
漏洞安全告警
1.Adobe产品安全漏洞
本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞在受害者浏览器的上下文中执行恶意脚本,窃取受害者基于cookie的身份验证凭据。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2025-30922、CNVD-2025-30923、CNVD-2025-30924、CNVD-2025-30925、CNVD-2025-30926、CNVD-2025-30927、CNVD-2025-30928、CNVD-2025-30929)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30922
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30923
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30924
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30925
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30926
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30927
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30928
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30929
2.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意shell脚本等。
CNVD收录的相关漏洞包括:Apache HTTP Server安全绕过漏洞(CNVD-2025-30833)、Apache HTTP Server代码执行漏洞(CNVD-2025-30835)、Apache HTTP Server跨站请求伪造漏洞、Apache Airflow安全绕过漏洞(CNVD-2025-30838)、Apache Kylin服务端请求伪造漏洞(CNVD-2025-30839)、Apache Kylin信息泄露漏洞(CNVD-2025-30840)、Apache DolphinScheduler代码执行漏洞、Apache VCL SQL注入漏洞。其中,除“Apache HTTP Server安全绕过漏洞(CNVD-2025-30833)、Apache HTTP Server代码执行漏洞(CNVD-2025-30835)、Apache Airflow安全绕过漏洞(CNVD-2025-30838)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30833
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30835
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30836
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30838
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30839
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30840
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30841
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30844
3.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2025-30723、CNVD-2025-30728、CNVD-2025-30729、CNVD-2025-30730)、Google Android信息泄露漏洞(CNVD-2025-30731、CNVD-2025-30724、CNVD-2025-30725、CNVD-2025-30726)。其中,“Google Android权限提升漏洞(CNVD-2025-30729)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30723
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30724
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30725
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30726
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30728
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30729
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30730
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30731
4.Microsoft产品安全漏洞
本周,上述产品被披露存在代码执行漏洞,攻击者可利用漏洞在系统上执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Excel代码执行漏洞(CNVD-2025-30653、CNVD-2025-30654、CNVD-2025-30655、CNVD-2025-30656、CNVD-2025-30657、CNVD-2025-30658)、Microsoft Word代码执行漏洞(CNVD-2025-30662、CNVD-2025-30663)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30653
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30654
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30655
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30656
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30657
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30658
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30662
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30663
5.D-Link DIR-823G命令注入漏洞(CNVD-2025-30949)
本周,D-Link DIR-823G被披露存在命令注入漏洞,攻击者可利用该漏洞在设备上执行任意命令。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30949
本周重要漏洞攻击验证情况
1.Tenda AC21缓冲区溢出漏洞(CNVD-2025-30948)
验证描述
Tenda AC21是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC21存在缓冲区溢出漏洞,该漏洞源于文件/goform/WifiExtraSet中函数sub_45BB10的参数wpapsk_crypto未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
验证信息
POC链接:
https://github.com/lin-3-start/lin-cve/blob/main/Tenda%20AC21/Tenda%20AC21%20Buffer%20overflow.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-30948
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/gEbVMztDI-j8_u0YnKSZSg)