2025年12月22日-2025年12月28日网络产品安全漏洞报告
漏洞安全告警
1.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞可未经授权的访问或操作,导致拒绝服务攻击,使程序崩溃,导致远程代码执行等。
CNVD收录的相关漏洞包括:Apache OpenOffice越界写漏洞、Apache Hive SQL注入漏洞、Apache HugeGraph-Server反序列化漏洞、Apache Kylin身份认证绕过漏洞、Apache Tomcat资源管理错误漏洞(CNVD-2025-31393)、Apache OFBiz跨站脚本漏洞(CNVD-2025-31392)、Apache OpenOffice外部文件加载漏洞、Apache Fory反序列化漏洞。其中,“Apache HugeGraph-Server反序列化漏洞、Apache Kylin身份认证绕过漏洞、Apache OpenOffice外部文件加载漏洞、Apache Fory反序列化漏洞”漏洞的总和评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31390
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31389
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31387
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31394
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31393
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31392
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31391
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31395
2.Huawei产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响服务的机密性,导致拒绝服务攻击。
CNVD收录的相关漏洞包括:Huawei HarmonyOS拒绝服务漏洞(CNVD-2025-31133、CNVD-2025-31134、CNVD-2025-31136)、Huawei HarmonyOS/EMUI文件路径绕过漏洞、Huawei HarmonyOS/EMUI竞争条件漏洞(CNVD-2025-31138)、Huawei HarmonyOS/EMUI数据校验错误漏洞(CNVD-2025-31140、CNVD-2025-31141、CNVD-2025-31142)。其中,“Huawei HarmonyOS/EMUI竞争条件漏洞(CNVD-2025-31138)、Huawei HarmonyOS/EMUI数据校验错误漏洞(CNVD-2025-31140、CNVD-2025-31142)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31133
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31134
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31136
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31139
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31138
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31141
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31140
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31142
3.Tenda产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。
CNVD收录的相关漏洞包括:Tenda FH1202 saveParentControlInfo方法堆栈缓冲区溢出漏洞、Tenda FH1202 formWifiBasicSet方法栈缓冲区溢出漏洞、Tenda FH1202 formSetClientState方法堆栈缓冲区溢出漏洞、Tenda FH1202 formSetCfm方法堆栈缓冲区溢出漏洞、Tenda FH1202 fromAddressNat方法堆栈缓冲区溢出漏洞、Tenda FH1203 fromNatStaticSetting方法堆栈缓冲区溢出漏洞、Tenda FH1202 formSetSpeedWan方法堆栈缓冲区溢出漏洞、Tenda FH1203 fromSetRouteStatic方法堆栈缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31157
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31161
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31164
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31163
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31162
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31166
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31165
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31167
4.Apple产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致应用访问敏感用户数据,在本地环境中导致系统意外终止或损坏进程内存,从而影响系统稳定性或进程运行状态,导致应用获取root权限等。
CNVD收录的相关漏洞包括:Apple macOS Tahoe权限限制不足漏洞、Apple macOS Tahoe检查不足漏洞(CNVD-2025-3114612、CNVD-2025-31144)、Apple macOS Tahoe验证不足漏洞、Apple macOS Tahoe逻辑限制不足漏洞、Apple macOS Tahoe内存处理不当漏洞、Apple macOS Tahoe注入漏洞、Apple macOS Tahoe权限问题漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31144
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31145
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31146
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31147
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31149
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31151
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31152
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31154
5.News Portal /forgot-password.php文件SQL注入漏洞
本周,News Portal被披露存在SQL注入漏洞,该漏洞源于文件/admin/forgot-password.php中参数Username缺少对外部输入SQL语句的验证。
攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31098
本周重要漏洞攻击验证情况
1.Currency Exchange System /edit.php文件SQL注入漏洞
验证描述
Currency Exchange System是一个货币兑换系统。
Currency Exchange System存在SQL注入漏洞,该漏洞源于文件/edit.php中参数ID缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/rassec2/dbcve/issues/12
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-31155
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/qWWm_u9P1FpbbzNaNNnVJg)