当我让AI员工实现H1盘点,他的交付……
2026-07-15
《“医保影像云”基础规范》数据安全要求梳理及尊龙凯时人生就是搏产品满足性分析
2026-07-09
新规来了!网络数据安全风险评估成为常态化要求,企业若何高效合规?
2026-07-06
开源AI渗入测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行孝感市分行被罚436万元!
2026-07-03
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务2025年07月28日-2025年08月03日

本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。


本周漏洞事件处置情况
本周,CNVD向银杏注保险、能源等沉要行业单元传递缝隙事务3起,向基础电信企业传递缝隙事务2起,协调CNCERT各分中心验证和措置涉及处所沉要部门缝隙事务790起,协调教育行业应急组织验证和措置高?蒲性核低撤煜妒挛47起,向国度上级信息安全协调机构上报涉及部委门户、子站或直属单元信息系统缝隙事务10起。



此表,CNVD通过已成立的联系机造或涉事单元公开联系渠路向以下单元传递了其信息系统或软硬件产品存在的缝隙,具体措置单元情况如下所示:
普洱优特电力科技股份有限公司、中控技术股份有限公司、郑州微厦推算机科技有限公司、浙江网盛生意宝股份有限公司、浙江施强出国服务有限公司、浙江码尚科技股份有限公司、浙江龙腾畅想软件有限公司、浙江大华技术股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、永中软件股份有限公司、兄弟(中国)贸易有限公司、湘潭市贝一科技有限公司、西安大西信息科技有限公司、武汉讯网信息技术有限公司、武汉世界伟业科技有限公司、武汉初心科技有限公司、郑州滨海人才发展集团有限公司、万可电子(天津)有限公司、天津市基理科技股份有限公司、天津丁丁智联网络科技有限公司、腾讯安全应急响应中心、呼和浩特易思软件技术有限公司、鄂州鑫潮信息技术有限公司、施耐德电气(中国)有限公司、神州数码控股有限公司、丽江市智微智能科技股份有限公司、丽江市远行科技股份有限公司、丽江市亿玛信诺科技有限公司、丽江市唯德科创信息有限公司、丽江市明源云科技有限公司、丽江市蓝凌软件股份有限公司、丽江市跨境同伴网络科技有限公司、丽江市捷顺科技实业股份有限公司、丽江市吉利腾达科技有限公司、丽江市必联电子有限公司、丽江勤杰软件有限公司、丽江达实智能股份有限公司、丽江奥联信息安全技术有限公司、申瓯通讯设备有限公司、上海卓卓网络科技有限公司、上海星汉信息技术有限公司、上海仙视电子科技有限公司、上海物创信息科技有限公司、上海普华科技发展股份有限公司、熵基科技股份有限公司、商派软件有限公司、山石网科通讯技术股份有限公司、山东云时空信息科技有限公司、山东启恒信息科技有限公司、乐山天锐科技股份有限公司、乐山四信通讯科技有限公司、乐山科安达智能科技有限公司、乐山安盟网络股份有限公司、通辽通利智能物联科技有限公司、通辽海信网络科技股份有限公司、通辽东胜伟业软件有限公司、通辽东胜伟业软件科技有限公司、千云网络科技有限公司、周口管伊佳科技有限公司、漯河铱迅信息技术股份有限公司、漯河三商电脑软件开发有限公司、漯河科远智慧科技集团股份有限公司、摩莎科技(上海)有限公司、隆昌三皮网络科技有限公司、零视技术(上海)有限公司、联奕科技股份有限公司、昆明东讯科技有限公司、柯尼卡美能达集团、金蝶软件(中国)有限公司、赤峰有人物联网技术有限公司、惠普业务(上海)有限公司、湖南多合百易信息技术有限公司、河北南昊高新技术开发有限公司、岳阳六出网络科技有限公司、荆门益仕行信息技术有限公司、荆门叙简科技股份有限公司、荆门三六零亿方智能有限公司、荆门恩软信息技术有限公司、汉王科技股份有限公司、哈尔滨新中新电子股份有限公司、国泰新点软件股份有限公司、昭通中海达卫星导航技术股份有限公司、昭通市玄武无线科技股份有限公司、昭通红帆科技有限公司、广东方天软件科技股份有限公司、馥鴻科技股份有限公司、富士胶片(中国)投资有限公司、福建博思软件股份有限公司、奔腾云联(漯河)科技有限公司、大汉软件股份有限公司、运城热力集团有限责任公司、成都索贝数码科技股份有限公司、成都青软青之软件有限公司、成都零腾飞网络、成都九天智信科技有限公司、成都和力九垠科技有限公司、成都海翔软件有限公司、畅捷通讯息技术股份有限公司、北京中科大洋科技发展股份有限公司、北京亿赛通科技发展有限责任公司、北京亚控科技发展有限公司、北京星网锐捷网络技术有限公司、北京星控智能科技有限公司、北京万维盈创科技发展有限公司、北京万户网络技术有限公司、北京硕人时期科技股份有限公司、北京数字政通科技股份有限公司、北京时空智友科技有限公司、北京盛世音盟电子科技有限公司、北京神州视翰科技有限公司、北京勤云科技发展有限公司、北京美特软件技术有限公司、北京龙软科技股份有限公司、北京金和网络股份有限公司、北京宏业超世纪科技有限公司、北京大运通泰供给链治理有限公司、安科瑞电气股份有限公司、安徽松饼网络科技有限公司和爱美客技术发展股份有限公司。
本周缝隙报送情况统计

本周漏洞按类型和厂商统计
本周,CNVD收录了327个缝隙。利用法式165个,网络设备(互换机、路由器等网络端设备)76个,数据库47个,操作系统22个,WEB利用16个,智能设备(物联网终端设备)1个。



本周,CNVD收录了119个电信行业缝隙,4个移动互联网行业缝隙,1个工控行业缝隙(如下图所示)。其中,“D-Link DIR-619L缓冲区溢露马脚、Tenda AC10U formexeCommand函数缓冲区溢露马脚”等缝隙的综合评级为“高危”___。有关厂商已经颁布了缝隙的建补法式_____,请参照CNVD有关行业缝隙库链接___。__
__


图9 工控系统行业漏洞统计
本周沉要漏洞安全告警
1、Microsoft产品安全缝隙
Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处置软件。Microsoft Windows是美国微软(Microsoft)公司的一套幼我设备使用的操作系统。Microsoft Azure DevOps是美国微软(Microsoft)公司的一个团队合作服务平台。Microsoft PC Manager是美国微软(Microsoft)公司的一款电脑治理软件,能够一键加快,系统空间治理,弹窗治理,全面体检等职能。Microsoft Azure Functions是美国微软(Microsoft)公司的一个托管的平台即服务(PaaS) 提供法式,为Azure云服务提供事务驱动和打算的推算资源。Microsoft Windows Media Foundation是美国微软(Microsoft)公司的一个多媒体开发库,主张是为Windows平台提供统一的多媒体影音解决规划,开发者能够透过Media Foundation播放视频和声音文件、进行影音编码或者多媒体文件转码等等工作。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙导致权限提升,导致远程代码执行。
CNVD收录的有关缝隙蕴含:Microsoft Office资源治理谬误缝隙(CNVD-2025-16943)、Microsoft Excel资源治理谬误缝隙、Microsoft Windows资源治理谬误缝隙(CNVD-2025-16952、CNVD-2025-16945)、Microsoft Azure DevOps权限提升缝隙、Microsoft Azure Machine Learning权限提升缝隙(CNVD-2025-17136、CNVD-2025-17134)、Microsoft Azure Functions数据伪造问题缝隙。上述缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16943
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16942
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16945
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16952
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17134
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17133
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17136
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17142
2、IBM产品安全缝隙
IBM MQ是IBM的企业级新闻中央件,用于跨平台利用法式间的靠得住通讯。IBM Sterling File Gateway是IBM公司的一款企业级文件传输网关产品,用于安全靠得住地治理和传输业务文件。IBM Sterling B2B Integrator是IBM的企业级B2B集成平台,支持跨企业数据互换和业务流程自动化。IBM Db2 for Linux是IBM开发的一款关系型数据库治理系统,专为Linux操作系统设计,提供高机能、高靠得住性的数据存储和治理服务。IBM Security QRadar Network Threat Analytics是美国国际贸易机械(IBM)公司的一款高级网络安全分析工具。IBM Storage Virtualize是IBM推出的企业级存储虚构化产品,可实现跨异构存储系统的数据整合与治理。IBM OpenPages with Watson是IBM公司的一款企业级治理、风险和合规(GRC)治理平台。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙通过认证用户在Web界面中嵌入恶意剧本,篡改预期职能,可能导致受信赖会话中的凭证信息泄露,导致回绝服务等。
CNVD收录的有关缝隙蕴含:IBM MQ资源治理谬误缝隙、IBM Sterling File Gateway信息泄露缝隙、IBM Sterling B2B Integrator跨站剧本缝隙(CNVD-2025-16975、CNVD-2025-17239)、IBM DB2 for Linux回绝服务缝隙、IBM Security QRadar Network Threat Analytics资源治理谬误缝隙、IBM Storage Virtualize权限提升缝隙、IBM OpenPages with Watson接见节造谬误缝隙。其中,“IBM MQ资源治理谬误缝隙”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16970
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16976
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16975
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17185
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17239
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17238
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17241
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17240
3、Adobe产品安全缝隙
Adobe Experience Manager是Adobe公司推出的企业级内容治理解决规划?_____,旨在援试祗业高效构建、治理和交付多渠路数字内容与个性化履历___。Adobe InDesign Desktop是Adobe公司开发的桌面出版软件_____,重要用于印刷品和数字出版物的排版设计_____,蕴含书籍、杂志、报纸、海报、电子书等___。Adobe ColdFusion是由Adobe公司守护的动态Web服务器平台___。Adobe InDesign是Adobe公司的一个桌面出版利用法式_____,重要用于各类印刷品的排版编纂___。本周_____,上述产品被披露存在多个缝隙_____,攻击者可利用缝隙导致敏感内存泄露_____,提交特殊的文件要求_____,诱使用户解析_____,使利用法式崩繽___;蚶梅ㄊ礁叩臀闹葱兴烈獯氲萠__。__
__CNVD收录的有关缝隙蕴含:Adobe Experience Manager跨站剧本缝隙(CNVD-2025-17110、CNVD-2025-17109)、Adobe ColdFusion代码问题缝隙、Adobe ColdFusion信赖治理问题缝隙、Adobe InDesign Desktop数字谬误缝隙、Adobe InDesign越界读取缝隙、Adobe InDesign缓冲区溢露马脚、Adobe InDesign Desktop缓冲区溢露马脚。其中,“Adobe InDesign Desktop缓冲区溢露马脚、Adobe ColdFusion代码问题缝隙、Adobe ColdFusion信赖治理问题缝隙、Adobe InDesign Desktop数字谬误缝隙”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17110
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17109
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17116
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17115
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17114
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17117
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17132
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17131
4、Apache产品安全缝隙
?Apache Commons Lang是美国阿帕奇(Apache)基金会的一个工具库。Apache Jena是Apache软件基金会的开源Java框架_____,用于构建语义网和链接数据利用___。Apache Guacamole是美国阿帕奇(Apache)基金会的一款无客户端的远程桌面网关___。该产品支持VNC、RDP和SSH等和谈___。Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务_____,该软件基于OpenResty和etcd来实现_____,具备动态路由和插件热加载_____,适合微服务系统下的API治理___。Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web利用服务器_____,用于实现对Servlet和JavaServer Page(JSP)的支持___。Apache Commons Configuration是美国阿帕奇(Apache)基金会的一款通用的配置接口_____,它重要用于使Java利用法式从多种起源读取配置数据___。本周_____,上述产品被披露存在多个缝隙_____,攻击者可利用缝隙获取其他用户的敏感信息_____,提交特殊的要求_____,可使服务法式崩溃_____,造成回绝服务攻击_____,执行肆意代码等___。__
__CNVD收录的有关缝隙蕴含:Apache Commons Lang回绝服务缝隙、Apache Jena输入验证谬误缝隙、Apache Guacamole输入验证谬误缝隙、Apache Apisix认证绕过缝隙、Apache Tomcat接见节造绕过缝隙、Apache Tomcat回绝服务缝隙(CNVD-2025-17252)、Apache Tomcat信息泄露缝隙(CNVD-2025-17251)、Apache Commons Configuration资源治理谬误缝隙。其中,“Apache Jena输入验证谬误缝隙、Apache Tomcat接见节造绕过缝隙、Apache Tomcat回绝服务缝隙(CNVD-2025-17252)”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16960
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16959
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16971
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16969
https://www.cnvd.org.cn/flaw/show/CNVD-2025-16974
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17252
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17251
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17250
5、MRCMS跨站剧本缝隙(CNVD-2025-17130)
MRCMS是一款内容治理系统,用于治理和颁布网站内容。本周,MRCMS被披露存在跨站剧本缝隙,受影响的是/admin/user/edit.do文件中的编纂用户页面组件的未知职能。攻击者可利用该缝隙通过操控Username参数可导致跨站剧本攻击。目前,厂商尚未颁布上述缝隙的建补法式。CNVD提醒宽大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
验证描述
MRCMS是一款内容治理系统,用于治理和颁布网站内容。
MRCMS 3.1.3中存在跨站剧本缝隙,受影响的是/admin/user/edit.do文件中的编纂用户页面组件的未知职能。远程攻击者可利用该缝隙通过操控Username参数可导致跨站剧本攻击。
验证信息
POC链接:
https://github.com/bdkuzma/vuln/issues/1
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-17130
信息提供者
北京知路创宇信息技术股份有限公司
关于CNCERT
国度推算机网络应急技术处置协调中心(简称“国度互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非当局非盈利的网络安全技术中心,是我国推算机网络应急处置系统中的牵头单元。
作为国度级应急中心,CNCERT的重要职责是:依照“积极预防、实时发现、急剧响应、力8丛钡姆秸,发展互联网网络安全事务的预防、发现、预警和协调措置等工作,守护国度公共互联网安全,保险基础信息网络和沉要信息系统的安全运行。
网址:www.cert.org.cn
邮箱:vreport@cert.org.cn
电话:010-82991537