尊龙凯时人生就是搏

提交需要
*
*

*
*
*
当即提交
点击”当即提交”,批注我理解并赞成 《尊龙凯时人生就是搏科技隐衷条款》

logo

    产品与服务
    解决规划
    技术支持
    合作发展
    关于尊龙凯时人生就是搏

    申请试用
      CNVD缝隙周报2025年第29期
      颁布功夫:2025-08-11 阅读次数: 4560 次

      202507月28日-202508月03

      尊龙凯时 - 人生就是搏!

        本。

        国度信息安全缝隙共享平台(以下简称CNVD)本周共网络、整顿信息安全缝隙327个,其中高危缝隙144个、中危缝隙175个、低危缝隙8个。缝隙均匀分值为6.94。本周收录的缝隙中,涉及0day缝隙73个(占22%),其中互联网上出现“MRCMS跨站剧本缝隙(CNVD-2025-17130)、e-Diary Management System SQL注入缝隙”等零日代码攻击缝隙。本周CNVD接到的涉及党政机关和企事业单元的缝隙总数1662个,与上周(6802个)环比削减76%。
      尊龙凯时 - 人生就是搏!
      1CNVD10
      尊龙凯时 - 人生就是搏!
      2CNVD0day

        本周,CNVD向银杏注保险、能源等沉要行业单元传递缝隙事务3起,向基础电信企业传递缝隙事务2起,协调CNCERT各分中心验证和措置涉及处所沉要部门缝隙事务790起,协调教育行业应急组织验证和措置高?蒲性核低撤煜妒挛47起,向国度上级信息安全协调机构上报涉及部委门户、子站或直属单元信息系统缝隙事务10起。

      尊龙凯时 - 人生就是搏!
      3CNVD
      尊龙凯时 - 人生就是搏!
      4CNCERT
      尊龙凯时 - 人生就是搏!
      5CNVD

        此表,CNVD通过已成立的联系机造或涉事单元公开联系渠路向以下单元传递了其信息系统或软硬件产品存在的缝隙,具体措置单元情况如下所示:

        普洱优特电力科技股份有限公司、中控技术股份有限公司、郑州微厦推算机科技有限公司、浙江网盛生意宝股份有限公司、浙江施强出国服务有限公司、浙江码尚科技股份有限公司、浙江龙腾畅想软件有限公司、浙江大华技术股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、永中软件股份有限公司、兄弟(中国)贸易有限公司、湘潭市贝一科技有限公司、西安大西信息科技有限公司、武汉讯网信息技术有限公司、武汉世界伟业科技有限公司、武汉初心科技有限公司、郑州滨海人才发展集团有限公司、万可电子(天津)有限公司、天津市基理科技股份有限公司、天津丁丁智联网络科技有限公司、腾讯安全应急响应中心、呼和浩特易思软件技术有限公司、鄂州鑫潮信息技术有限公司、施耐德电气(中国)有限公司、神州数码控股有限公司、丽江市智微智能科技股份有限公司、丽江市远行科技股份有限公司、丽江市亿玛信诺科技有限公司、丽江市唯德科创信息有限公司、丽江市明源云科技有限公司、丽江市蓝凌软件股份有限公司、丽江市跨境同伴网络科技有限公司、丽江市捷顺科技实业股份有限公司、丽江市吉利腾达科技有限公司、丽江市必联电子有限公司、丽江勤杰软件有限公司、丽江达实智能股份有限公司、丽江奥联信息安全技术有限公司、申瓯通讯设备有限公司、上海卓卓网络科技有限公司、上海星汉信息技术有限公司、上海仙视电子科技有限公司、上海物创信息科技有限公司、上海普华科技发展股份有限公司、熵基科技股份有限公司、商派软件有限公司、山石网科通讯技术股份有限公司、山东云时空信息科技有限公司、山东启恒信息科技有限公司、乐山天锐科技股份有限公司、乐山四信通讯科技有限公司、乐山科安达智能科技有限公司、乐山安盟网络股份有限公司、通辽通利智能物联科技有限公司、通辽海信网络科技股份有限公司、通辽东胜伟业软件有限公司、通辽东胜伟业软件科技有限公司、千云网络科技有限公司、周口管伊佳科技有限公司、漯河铱迅信息技术股份有限公司、漯河三商电脑软件开发有限公司、漯河科远智慧科技集团股份有限公司、摩莎科技(上海)有限公司、隆昌三皮网络科技有限公司、零视技术(上海)有限公司、联奕科技股份有限公司、昆明东讯科技有限公司、柯尼卡美能达集团、金蝶软件(中国)有限公司、赤峰有人物联网技术有限公司、惠普业务(上海)有限公司、湖南多合百易信息技术有限公司、河北南昊高新技术开发有限公司、岳阳六出网络科技有限公司、荆门益仕行信息技术有限公司、荆门叙简科技股份有限公司、荆门三六零亿方智能有限公司、荆门恩软信息技术有限公司、汉王科技股份有限公司、哈尔滨新中新电子股份有限公司、国泰新点软件股份有限公司、昭通中海达卫星导航技术股份有限公司、昭通市玄武无线科技股份有限公司、昭通红帆科技有限公司、广东方天软件科技股份有限公司、馥鴻科技股份有限公司、富士胶片(中国)投资有限公司、福建博思软件股份有限公司、奔腾云联(漯河)科技有限公司、大汉软件股份有限公司、运城热力集团有限责任公司、成都索贝数码科技股份有限公司、成都青软青之软件有限公司、成都零腾飞网络、成都九天智信科技有限公司、成都和力九垠科技有限公司、成都海翔软件有限公司、畅捷通讯息技术股份有限公司、北京中科大洋科技发展股份有限公司、北京亿赛通科技发展有限责任公司、北京亚控科技发展有限公司、北京星网锐捷网络技术有限公司、北京星控智能科技有限公司、北京万维盈创科技发展有限公司、北京万户网络技术有限公司、北京硕人时期科技股份有限公司、北京数字政通科技股份有限公司、北京时空智友科技有限公司、北京盛世音盟电子科技有限公司、北京神州视翰科技有限公司、北京勤云科技发展有限公司、北京美特软件技术有限公司、北京龙软科技股份有限公司、北京金和网络股份有限公司、北京宏业超世纪科技有限公司、北京大运通泰供给链治理有限公司、安科瑞电气股份有限公司、安徽松饼网络科技有限公司和爱美客技术发展股份有限公司。

      本周缝隙报送情况统计

        本周报送情况如表1所示。其中,深折服科技股份有限公司、新华三技术有限公司、北京天融信网络安全技术有限公司、阿里云推算有限公司、北京启明星辰信息安全技术有限公司等单元报送公开网络的缝隙数量较多。中孚安全技术有限公司、国度能源集团、北京全国信安技术有限公司、西安热工钻研院有限公司、贵州多彩网安科技有限公司、中国电信股份有限公司上海钻研院、北京禹宏信安科技有限公司、吉林省吉林祥云信息技术有限公司、含光尝试室、北京神州泰岳软件股份有限公司、成都久信信息技术股份有限公司、人保信息科技有限公司、中国电信股份有限公司钻研院、漯河市产品质量监督检验院(漯河市质量发展与先进技术利用钻研院)、中资网络信息安全科技有限公司、北京高见网安技术股份有限公司、中国工程物理钻研院推算机利用钻研所、浙江大学节造科学与工程学院、北京纽盾网安信息技术有限公司、成都尺物科技有限公司及其他幼我白帽子向CNVD提交了1662个以事务型缝隙为主的原创缝隙,其中蕴含三六零数字安全科技集团有限公司和奇安信网神(补天平台)向CNVD共享的白帽子报送1221条原创缝隙信息。
      表1 缝隙报送情况统计表
      尊龙凯时 - 人生就是搏!

      本周,CNVD收录了327个缝隙。利用法式165个,网络设备(互换机、路由器等网络端设备)76个,数据库47个,操作系统22个,WEB利用16个,智能设备(物联网终端设备)1个。

      2
      尊龙凯时 - 人生就是搏!

      尊龙凯时 - 人生就是搏!
      6
        CNVD整顿和颁布的缝隙涉及Oracle、WordPress、Tenda等多家厂商的产品,部门缝隙数量按厂商统计如表3所示。
      3
      尊龙凯时 - 人生就是搏!

        本周,CNVD收录了119个电信行业缝隙,4个移动互联网行业缝隙,1个工控行业缝隙(如下图所示)。其中,“D-Link DIR-619L缓冲区溢露马脚、Tenda AC10U formexeCommand函数缓冲区溢露马脚”等缝隙的综合评级为“高危”_。有关厂商已经颁布了缝隙的建补法式_______,请参照CNVD有关行业缝隙库链接_。__

      __
      http://telecom.cnvd.org.cn/
      http://mi.cnvd.org.cn/
      http://ics.cnvd.org.cn/
      尊龙凯时 - 人生就是搏!
      7 
      尊龙凯时 - 人生就是搏!
      8 
      尊龙凯时 - 人生就是搏!

      9 

      ,CNVD。

      1、Microsoft产品安全缝隙

      Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处置软件。Microsoft Windows是美国微软(Microsoft)公司的一套幼我设备使用的操作系统。Microsoft Azure DevOps是美国微软(Microsoft)公司的一个团队合作服务平台。Microsoft PC Manager是美国微软(Microsoft)公司的一款电脑治理软件,能够一键加快,系统空间治理,弹窗治理,全面体检等职能。Microsoft Azure Functions是美国微软(Microsoft)公司的一个托管的平台即服务(PaaS) 提供法式,为Azure云服务提供事务驱动和打算的推算资源。Microsoft Windows Media Foundation是美国微软(Microsoft)公司的一个多媒体开发库,主张是为Windows平台提供统一的多媒体影音解决规划,开发者能够透过Media Foundation播放视频和声音文件、进行影音编码或者多媒体文件转码等等工作。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙导致权限提升,导致远程代码执行。

      CNVD收录的有关缝隙蕴含:Microsoft Office资源治理谬误缝隙(CNVD-2025-16943)、Microsoft Excel资源治理谬误缝隙、Microsoft Windows资源治理谬误缝隙(CNVD-2025-16952、CNVD-2025-16945)、Microsoft Azure DevOps权限提升缝隙、Microsoft Azure Machine Learning权限提升缝隙(CNVD-2025-17136、CNVD-2025-17134)、Microsoft Azure Functions数据伪造问题缝隙。上述缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16943

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16942

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16945

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16952

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17134

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17133

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17136

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17142

      2、IBM产品安全缝隙

      IBM MQ是IBM的企业级新闻中央件,用于跨平台利用法式间的靠得住通讯。IBM Sterling File Gateway是IBM公司的一款企业级文件传输网关产品,用于安全靠得住地治理和传输业务文件。IBM Sterling B2B Integrator是IBM的企业级B2B集成平台,支持跨企业数据互换和业务流程自动化。IBM Db2 for Linux是IBM开发的一款关系型数据库治理系统,专为Linux操作系统设计,提供高机能、高靠得住性的数据存储和治理服务。IBM Security QRadar Network Threat Analytics是美国国际贸易机械(IBM)公司的一款高级网络安全分析工具。IBM Storage Virtualize是IBM推出的企业级存储虚构化产品,可实现跨异构存储系统的数据整合与治理。IBM OpenPages with Watson是IBM公司的一款企业级治理、风险和合规(GRC)治理平台。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙通过认证用户在Web界面中嵌入恶意剧本,篡改预期职能,可能导致受信赖会话中的凭证信息泄露,导致回绝服务等。

      CNVD收录的有关缝隙蕴含:IBM MQ资源治理谬误缝隙、IBM Sterling File Gateway信息泄露缝隙、IBM Sterling B2B Integrator跨站剧本缝隙(CNVD-2025-16975、CNVD-2025-17239)、IBM DB2 for Linux回绝服务缝隙、IBM Security QRadar Network Threat Analytics资源治理谬误缝隙、IBM Storage Virtualize权限提升缝隙、IBM OpenPages with Watson接见节造谬误缝隙。其中,“IBM MQ资源治理谬误缝隙”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16970

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16976

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16975

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17185

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17239

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17238

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17241

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17240

      3、Adobe产品安全缝隙

      Adobe Experience Manager是Adobe公司推出的企业级内容治理解决规划?_______,旨在援试祗业高效构建、治理和交付多渠路数字内容与个性化履历_。Adobe InDesign Desktop是Adobe公司开发的桌面出版软件_______,重要用于印刷品和数字出版物的排版设计_______,蕴含书籍、杂志、报纸、海报、电子书等_。Adobe ColdFusion是由Adobe公司守护的动态Web服务器平台_。Adobe InDesign是Adobe公司的一个桌面出版利用法式_______,重要用于各类印刷品的排版编纂_。本周_______,上述产品被披露存在多个缝隙_______,攻击者可利用缝隙导致敏感内存泄露_______,提交特殊的文件要求_______,诱使用户解析_______,使利用法式崩繽_____;蚶梅ㄊ礁叩臀闹葱兴烈獯氲萠。__

      __

      CNVD收录的有关缝隙蕴含:Adobe Experience Manager跨站剧本缝隙(CNVD-2025-17110、CNVD-2025-17109)、Adobe ColdFusion代码问题缝隙、Adobe ColdFusion信赖治理问题缝隙、Adobe InDesign Desktop数字谬误缝隙、Adobe InDesign越界读取缝隙、Adobe InDesign缓冲区溢露马脚、Adobe InDesign Desktop缓冲区溢露马脚。其中,“Adobe InDesign Desktop缓冲区溢露马脚、Adobe ColdFusion代码问题缝隙、Adobe ColdFusion信赖治理问题缝隙、Adobe InDesign Desktop数字谬误缝隙”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17110

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17109

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17116

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17115

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17114

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17117

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17132

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17131

      4、Apache产品安全缝隙

      ?Apache Commons Lang是美国阿帕奇(Apache)基金会的一个工具库。Apache Jena是Apache软件基金会的开源Java框架_______,用于构建语义网和链接数据利用_。Apache Guacamole是美国阿帕奇(Apache)基金会的一款无客户端的远程桌面网关_。该产品支持VNC、RDP和SSH等和谈_。Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务_______,该软件基于OpenResty和etcd来实现_______,具备动态路由和插件热加载_______,适合微服务系统下的API治理_。Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web利用服务器_______,用于实现对Servlet和JavaServer Page(JSP)的支持_。Apache Commons Configuration是美国阿帕奇(Apache)基金会的一款通用的配置接口_______,它重要用于使Java利用法式从多种起源读取配置数据_。本周_______,上述产品被披露存在多个缝隙_______,攻击者可利用缝隙获取其他用户的敏感信息_______,提交特殊的要求_______,可使服务法式崩溃_______,造成回绝服务攻击_______,执行肆意代码等_。__

      __

      CNVD收录的有关缝隙蕴含:Apache Commons Lang回绝服务缝隙、Apache Jena输入验证谬误缝隙、Apache Guacamole输入验证谬误缝隙、Apache Apisix认证绕过缝隙、Apache Tomcat接见节造绕过缝隙、Apache Tomcat回绝服务缝隙(CNVD-2025-17252)、Apache Tomcat信息泄露缝隙(CNVD-2025-17251)、Apache Commons Configuration资源治理谬误缝隙。其中,“Apache Jena输入验证谬误缝隙、Apache Tomcat接见节造绕过缝隙、Apache Tomcat回绝服务缝隙(CNVD-2025-17252)”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16960

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16959

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16971

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16969

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-16974

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17252

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17251

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17250

      5、MRCMS跨站剧本缝隙(CNVD-2025-17130)

      MRCMS是一款内容治理系统,用于治理和颁布网站内容。本周,MRCMS被披露存在跨站剧本缝隙,受影响的是/admin/user/edit.do文件中的编纂用户页面组件的未知职能。攻击者可利用该缝隙通过操控Username参数可导致跨站剧本攻击。目前,厂商尚未颁布上述缝隙的建补法式。CNVD提醒宽大用户随时关注厂商主页,以获取最新版本。

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130


      幼结:周,Microsoft产品被披露存在多个缝隙,攻击者可利用缝隙导致权限提升,导致远程代码执行。此表,IBM、Adobe、Apache等多款产品被披露存在多个缝隙,攻击者可利用缝隙通过认证用户在Web界面中嵌入恶意剧本,篡改预期职能,可能导致受信赖会话中的凭证信息泄露,导致回绝服务,执行肆意代码等。另表,MRCMS被披露存在跨站剧本缝隙,攻击者可利用该缝隙通过操控Username参数可导致跨站剧本攻击。建议有关用户随时关注上述厂商主页,实时获取建复补丁或解决规划。

      ,CNVD。

      1、MRCMS跨站剧本缝隙(CNVD-2025-17130)

      MRCMS是一款内容治理系统,用于治理和颁布网站内容。

      MRCMS 3.1.3中存在跨站剧本缝隙,受影响的是/admin/user/edit.do文件中的编纂用户页面组件的未知职能。远程攻击者可利用该缝隙通过操控Username参数可导致跨站剧本攻击。

      POC

      https://github.com/bdkuzma/vuln/issues/1

      参考链接:

      https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130

      北京知路创宇信息技术股份有限公司

      (),。广,。


      关于CNVD
      国度信息安全缝隙共享平台(China National Vulnerability Database,简称CNVD)是由CNCERT结合国内沉要信息系统单元、基础电信运营商、网络安全厂商、软件厂商和互联网企业成立的国度网络安全缝隙库,致力于成立国度统一的信息安全缝隙网络、颁布、验证、分析蹬爪急处置系统。

      关于CNCERT

      国度推算机网络应急技术处置协调中心(简称“国度互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非当局非盈利的网络安全技术中心,是我国推算机网络应急处置系统中的牵头单元。

      作为国度级应急中心,CNCERT的重要职责是:依照“积极预防、实时发现、急剧响应、力  8丛钡姆秸,发展互联网网络安全事务的预防、发现、预警和协调措置等工作,守护国度公共互联网安全,保险基础信息网络和沉要信息系统的安全运行。

      www.cert.org.cn

      vreport@cert.org.cn

      010-82991537



      尊龙凯时 - 人生就是搏! 免费试用
      尊龙凯时 - 人生就是搏! 服务热线
      尊龙凯时 - 人生就是搏!

      顿时征询

      400-811-3777

      尊龙凯时 - 人生就是搏! 回到顶部
      【网站地图】