正文

上周关注度较高的产品安全漏洞(20250915-20250921)

admin
admin V管理员 /0 评论 /5 阅读
0922
文章最后更新时间2025年09月22日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Ivanti Secure Access Client授权不当漏洞

Ivanti Secure Access Client是Ivanti公司开发的一款安全软件客户端,主要用于实现远程安全访问,支持企业级VPN连接和资源加密访问。Ivanti Secure Access Client存在授权不当漏洞,攻击者可利用该漏洞修改敏感的配置文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21364

2、Fuji Electric FRENIC RHC Loader XML外部实体引用漏洞

Fuji Electric FRENIC RHC Loader是日本富士电机(Fuji Electric)公司开发的一款用于调试和监控变频器的软件工具,主要服务于工业自动化领域。Fuji Electric FRENIC RHC Loader存在XML外部实体引用漏洞,攻击者可利用该漏洞提交特殊的请求,可获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21385 

3、Google Android权限提升漏洞(CNVD-2025-21369)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21369

4、Google Android权限提升漏洞(CNVD-2025-21368)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21368

5、Fuji Electric FRENIC RHC Loader缓冲区溢出漏洞

Fuji Electric FRENIC RHC Loader是日本富士电机(Fuji Electric)公司开发的一款用于调试和监控变频器的软件工具,主要服务于工业自动化领域。Fuji Electric FRENIC RHC Loader存在缓冲区溢出漏洞,攻击者可利用该漏洞诱导用户打开特制的FNE文件,泄露敏感信息或者执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21387

二、境内厂商产品漏洞

1、Tenda G3 getsinglepppuser函数缓冲区溢出漏洞

Tenda G3是腾达(Tenda)推出的微企一体化网关,专为中小型企业设计,提供集成化网络解决方案。Tenda G3存在缓冲区溢出漏洞,该漏洞源于getsinglepppuser函数中pPppUser参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21326

2、Tenda AC6 sub_7D858函数缓冲区溢出漏洞

Tenda AC6是腾达(Tenda)推出的双频无线路由器,支持2.4GHz和5GHz频段,最高传输速率为1167Mbps,具备双频合一功能。Tenda AC6存在缓冲区溢出漏洞,该漏洞源于sub_7D858函数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21382

3、Tenda AC6 initIpAddrInfo函数缓冲区溢出漏洞

Tenda AC6是腾达(Tenda)推出的双频无线路由器,支持2.4GHz和5GHz频段,最高传输速率为1167Mbps,具备双频合一功能。Tenda AC6存在缓冲区溢出漏洞,该漏洞源于initIpAddrInfo函数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21378

4、D-Link DIR-823x命令注入漏洞

D-Link DIR-823X是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-823x 250416及之前版本存在命令注入漏洞,该漏洞源于文件/goform/diag_ping中参数target_addr的未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21414

5、西安众邦网络科技有限公司CRMEB服务端请求伪造漏洞

CRMEB是一个Java商城系统。CRMEB 5.6.1及之前版本存在服务端请求伪造漏洞,该漏洞源于文件app/services/out/OutAccountServices.php中参数push_token_url未实现足够的验证机制来确认请求的来源,攻击者可利用该漏洞探测服务器内网资源。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-21412

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com