正文

上周关注度较高的产品安全漏洞(20250818-20250824

admin
admin V管理员 /0 评论 /10 阅读
0825
文章最后更新时间2025年08月25日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Adobe Substance3D Modeler越界读取漏洞

Adobe Substance3D Modeler是Adobe Substance 3D系列软件中的核心工具,专为3D建模设计,支持数字黏土雕刻、对称工具、自动化UV管理等功能,可实现跨计算机VR环境无缝切换。Adobe Substance3D Modeler存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19219

2、WordPress Advanced Google Universal Analytics缺少授权漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress plugin是一个应用插件。WordPress Advanced Google Universal Analytics存在缺少授权漏洞,攻击者可利用该漏洞导致访问控制安全级别配置不当。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19188

3、Apache Superset SQL注入漏洞(CNVD-2025-19100)

Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset存在SQL注入漏洞,该漏洞源于DISALLOWED_SQL_FUNCTIONS安全功能被绕过,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19100

4、Intel 700 Series Ethernet权限提升漏洞

Intel 700 Series Ethernet是美国英特尔(Intel)公司的一款高性能以太网控制器系列。Intel 700 Series Ethernet存在权限提升漏洞,该漏洞源于控制流管理不足,攻击者可利用该漏洞导致权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19264

5、Apache bRPC拒绝服务漏洞

Apache bRPC是美国阿帕奇(Apache)基金会的用于构建可靠和高性能服务的工业级RPC框架。Apache bRPC存在拒绝服务漏洞,该漏洞源于Redis协议解析器内存分配不当,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19104

二、境内厂商产品漏洞

1、Huawei EMUI/HarmonyOS双重释放漏洞(CNVD-2025-18900)

Huawei EMUI和Huawei HarmonyOS都是中国华为(Huawei)公司的产品。Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是华为公司自主研发的面向全场景的分布式操作系统,旨在实现人、设备、场景的智能互联与资源共享。Huawei EMUI/HarmonyOS存在双重释放漏洞,该漏洞源于在RSMC模块中存在双重释放漏洞。攻击者可利用该漏洞影响可用性。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-18900

2、D-Link DIR-818L注入漏洞

D-Link DIR-818L是中国友讯(D-Link)公司的一个WiFi路由器。D-Link DIR-818L存在注入漏洞,该漏洞源于文件/htdocs/cgibin的错误操作,攻击者可利用该漏洞通过注入恶意SQL语句,绕过身份验证,访问受限数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19232

3、Tenda AC20命令注入漏洞

Tenda AC20是中国腾达(Tenda)公司的一款无线路由器。Tenda AC20存在命令注入漏洞,该漏洞源于/goform/telnet文件中websFormDefine函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-19109

4、D-Link G416 nodered tar文件命令注入漏洞

D-Link G416是友讯公司于2025年6月推出的AX1500 4G+智能路由器 ,支持Wi-Fi 6、AI智能优化及4G LTE Cat 6网络,最高网速可达300Mbps。D-Link G416存在命令注入漏洞,该漏洞源于nodered tar文件处理命令注入远程代码执行漏洞。攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-18896

5、D-Link G416 nodered gz文件命令注入漏洞

D-Link G416是友讯公司于2025年6月推出的AX1500 4G+智能路由器 ,支持Wi-Fi 6、AI智能优化及4G LTE Cat 6网络,最高网速可达300Mbps。D-Link G416存在命令注入漏洞,该漏洞源于nodered gz文件处理命令注入远程代码执行漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-18895

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om