正文

上周关注度较高的产品安全漏洞(20250804-20250810)

admin
admin V管理员 /0 评论 /6 阅读
0811
文章最后更新时间2025年08月11日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Siemens SCALANCE LPE9403堆栈缓冲区溢出漏洞

Siemens SCALANCE LPE9403是德国西门子(Siemens)公司的一款用于工业现场数据处理的本地处理引擎。用于捕获、收集和预处理工业现场数据。Siemens SCALANCE LPE9403存在堆栈缓冲区溢出漏洞,攻击者可利用该漏洞在设备上执行任意代码或导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17502

2、Siemens SCALANCE LPE9403操作系统命令注入漏洞(CNVD-2025-17604)

Siemens SCALANCE LPE9403是德国西门子(Siemens)公司的一款用于工业现场数据处理的本地处理引擎。用于捕获、收集和预处理工业现场数据。Siemens SCALANCE LPE9403存在操作系统命令注入漏洞,该漏洞源于配置参数清理不当,攻击者可利用该漏洞在设备上执行root命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17604

3、GNU Binutils parse_stab_struct_fields函数内存泄露漏洞

GNU Binutils是一组用于处理二进制文件(如目标文件、可执行文件、库文件等)的开源工具集,主要用于编译、调试、逆向工程等领域。GNU Binutils存在内存泄漏漏洞,该漏洞源于stabs.c文件中的parse_stab_struct_fields函数存在内存泄漏问题。攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17531

4、Siemens SCALANCE LPE9403安全绕过漏洞(CNVD-2025-17603)

Siemens SCALANCE LPE9403是德国西门子(Siemens)公司的一款用于工业现场数据处理的本地处理引擎。用于捕获、收集和预处理工业现场数据。Siemens SCALANCE LPE9403存在安全绕过漏洞,该漏洞源于关键资源权限分配不当,攻击者可利用该漏洞导致与备份管理器服务交互。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17603

5、Siemens SCALANCE LPE9403信息泄露漏洞(CNVD-2025-17602)

Siemens SCALANCE LPE9403是德国西门子(Siemens)公司的一款用于工业现场数据处理的本地处理引擎。用于捕获、收集和预处理工业现场数据。Siemens SCALANCE LPE9403存在信息泄露漏洞,该漏洞源于明文传输敏感信息,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17602

二、境内厂商产品漏洞

1、TOTOLINK LR1200GB setLanguageCfg函数缓冲区溢出漏洞

TOTOLINK LR1200GB是一款由中国吉翁电子(TOTOLINK)推出的无线双频4G LTE路由器,支持2.4GHz和5GHz双频段网络。TOTOLINK LR1200GB存在缓冲区溢出漏洞,该漏洞源于/cgi-bin/cstecgi.cgi文件的setLanguageCfg函数的lang参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17967

2、西安炎燚信息科技有限公司ModStartCMS存在文件写入漏洞

ModStartCMS是一个基于Laravel框架的模块化内容管理系统。西安炎燚信息科技有限公司ModStartCMS存在文件写入漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17846

3、Advantech iView CUtils.checkSQLInjection函数SQL注入漏洞

Advantech iView是中国研华(Advantech)公司的一个基于简单网络协议(SNMP)来对B + B SmartWorx设备进行管理的软件。Advantech iView CUtils.checkSQLInjection函数存在SQL注入漏洞,攻击者可利用该漏洞导致信息泄露或拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17605

4、TOTOLINK EX200 setLanguageCfg方法代码执行漏洞

TOTOLINK EX200是一款由中国吉翁电子(TOTOLINK)推出的无线N范围扩展器 ,主要用于扩展现有Wi-Fi网络的覆盖范围,解决信号盲区问题。TOTOLINK EX200存在代码执行漏洞,该漏洞源于setLanguageCfg方法的langType参数未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17942

5、TOTOLINK EX200 getEasyWizardCfg方法授权问题漏洞

TOTOLINK EX200是中国吉翁电子推出的2.4GHz无线N范围扩展器,主要用于扩展现有Wi-Fi网络的覆盖范围,解决信号盲区问题。TOTOLINK EX200存在授权问题漏洞,攻击者可利用该漏洞通过getEasyWizardCfg方法在没有授权的情况下获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-17520

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om