久精品国产-日本精品99-亚洲精品一二,精品国产乱码一区二区三,免费a级毛片,97久久欧美国产亚洲

2025年03月17日-2025年03月23日

本周漏洞態(tài)勢(shì)研判情況

本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。

國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱(chēng)CNVD）本周共收集、整理信息安全漏洞273個(gè)，其中高危漏洞128個(gè)、中危漏洞123個(gè)、低危漏洞22個(gè)。漏洞平均分值為6.37。本周收錄的漏洞中，涉及0day漏洞176個(gè)（占64%），其中互聯(lián)網(wǎng)上出現(xiàn)“Hoosk title/Title參數(shù)跨站腳本漏洞、CodeAstro Internet Banking System跨站腳本漏洞（CNVD-2025-05224）”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的漏洞總數(shù)8395個(gè)，與上周（9662個(gè)）環(huán)比減少13%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

本周漏洞事件處置情況

本周，CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件1起，向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件6起，協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門(mén)漏洞事件271起，協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高校科研院所系統(tǒng)漏洞事件25起，向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門(mén)戶(hù)、子站或直屬單位信息系統(tǒng)漏洞事件24起。

圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)

圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)

圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)

此外，CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開(kāi)聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

紫光股份有限公司、珠海奔圖電子有限公司、中興通訊股份有限公司、中科方德軟件有限公司、智互聯(lián)（深圳）科技有限公司、浙江大華技術(shù)股份有限公司、云南度弘科技有限公司、昱能科技股份有限公司、漁翁信息技術(shù)股份有限公司、友訊電子設(shè)備（上海）有限公司、用友網(wǎng)絡(luò)科技股份有限公司、小米科技有限責(zé)任公司、襄陽(yáng)智博珞格網(wǎng)絡(luò)科技有限公司、太極計(jì)算機(jī)股份有限公司、松立控股集團(tuán)股份有限公司、四平市九州易通科技有限公司、深圳市億瑪信諾科技有限公司、深圳市思迅軟件股份有限公司、深圳市藍(lán)凌軟件股份有限公司、深圳市捷順科技實(shí)業(yè)股份有限公司、深圳市吉祥騰達(dá)科技有限公司、深圳勤杰軟件有限公司、深圳國(guó)威電子有限公司、深圳達(dá)實(shí)物聯(lián)網(wǎng)技術(shù)有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海新致軟件股份有限公司、上海三高計(jì)算機(jī)中心股份有限公司、上海電音馬蘭士電子有限公司、上海愛(ài)數(shù)信息技術(shù)股份有限公司、上海艾泰科技有限公司、山脈科技股份有限公司、山東中維世紀(jì)科技股份有限公司、廈門(mén)天銳科技股份有限公司、廈門(mén)納龍健康科技股份有限公司、廈門(mén)海西醫(yī)藥交易中心有限公司、三菱電機(jī)株式會(huì)社、瑞納智能設(shè)備股份有限公司、詮創(chuàng)科技有限公司、青島海信網(wǎng)絡(luò)科技股份有限公司、麒麟軟件有限公司、寧夏西云數(shù)據(jù)科技有限公司、南京科遠(yuǎn)智慧科技集團(tuán)股份有限公司、朗坤智慧科技股份有限公司、科強(qiáng)信息技術(shù)有限公司、柯尼卡美能達(dá)集團(tuán)、晶睿通訊股份有限公司、江蘇匯文軟件有限公司、濟(jì)南卓源軟件有限公司、濟(jì)南馳騁信息技術(shù)有限公司、吉翁電子（深圳）有限公司、華平信息技術(shù)股份有限公司、鴻合科技股份有限公司、杭州博斯軟件開(kāi)發(fā)有限公司、廣州圖創(chuàng)計(jì)算機(jī)軟件開(kāi)發(fā)有限公司、廣州聚創(chuàng)網(wǎng)絡(luò)科技有限公司、高新興科技集團(tuán)股份有限公司、阜陽(yáng)點(diǎn)云網(wǎng)絡(luò)科技有限公司、福建新大陸通信科技股份有限公司、佛山市杜特軟件科技有限公司、東莞市同享軟件科技有限公司、成都同飛科技有限責(zé)任公司、成都朗速科技有限公司、成都鴻合愛(ài)課堂科技有限公司、暢捷通信息技術(shù)股份有限公司、北京億賽通科技發(fā)展有限責(zé)任公司、北京亞控科技發(fā)展有限公司、北京新網(wǎng)醫(yī)訊技術(shù)有限公司、北京問(wèn)程教育科技有限公司、北京數(shù)字政通科技股份有限公司、北京神州視翰科技有限公司、北京三維天地科技股份有限公司、北京普照天星科技有限公司、北京金和網(wǎng)絡(luò)股份有限公司、北京鋒脈智軟科技有限公司、北京東方通科技股份有限公司、北京寶蘭德軟件股份有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司和安科瑞電氣股份有限公司。

本周漏洞報(bào)送情況統(tǒng)計(jì)

本周漏洞按類(lèi)型和廠商統(tǒng)計(jì)

本周，CNVD收錄了273個(gè)漏洞。WEB應(yīng)用119個(gè)，應(yīng)用程序65個(gè)，網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備）41個(gè)，智能設(shè)備（物聯(lián)網(wǎng)終端設(shè)備）22個(gè)，操作系統(tǒng)20個(gè)，數(shù)據(jù)庫(kù)5個(gè)，安全產(chǎn)品1個(gè)。

圖6 本周漏洞按影響類(lèi)型分布

本周行業(yè)漏洞收錄情況

本周，CNVD收錄了21個(gè)電信行業(yè)漏洞，4個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞，4個(gè)工控行業(yè)漏洞（如下圖所示）。其中，“Google Android權(quán)限提升漏洞（CNVD-2025-05218）、Rockwell Automation ｓｅｌｅｃｔ 1756-EN*緩沖區(qū)溢出漏洞”等漏洞的綜合評(píng)級(jí)為“高?！?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序，請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。

工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

圖7 電信行業(yè)漏洞統(tǒng)計(jì)

圖8 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)

圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)

本周重要漏洞安全告警

1、IBM產(chǎn)品安全漏洞

IBM Concert是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一種新工具。使用生成式AI幫助管理復(fù)雜的云原生應(yīng)用程序。IBM Control Center是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一個(gè)集中式監(jiān)控和管理系統(tǒng)。IBM EntireX是IBM開(kāi)發(fā)的跨平臺(tái)應(yīng)用集成中間件，支持異構(gòu)系統(tǒng)間數(shù)據(jù)通信與事務(wù)處理。IBM MQ是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一款消息傳遞中間件產(chǎn)品。該產(chǎn)品主要為面向服務(wù)的體系結(jié)構(gòu)（SOA）提供可靠的、經(jīng)過(guò)驗(yàn)證的消息傳遞主干網(wǎng)。IBM FlashSystem是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一系列高性能全閃存和混合閃存存儲(chǔ)解決方案。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞暴力破解賬戶(hù)憑據(jù)，通過(guò)特制URL請(qǐng)求來(lái)查看系統(tǒng)上的任意文件，導(dǎo)致拒絕服務(wù)，執(zhí)行任意Java代碼等。

CNVD收錄的相關(guān)漏洞包括：IBM Concert暴力破解漏洞、IBM Control Center跨站腳本漏洞、IBM EntireX路徑遍歷漏洞、IBM EntireX拒絕服務(wù)漏洞、IBM MQ代碼問(wèn)題漏洞、IBM FlashSystem代碼執(zhí)行漏洞、IBM MQ拒絕服務(wù)漏洞（CNVD-2025-05564）、IBM MQ代碼執(zhí)行漏洞（CNVD-2025-05563）。其中，“IBM Concert暴力破解漏洞、IBM FlashSystem代碼執(zhí)行漏洞、IBM MQ代碼執(zhí)行漏洞（CNVD-2025-05563）”漏洞的綜合評(píng)級(jí)為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05214

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05215

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05217

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05216

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05389

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05388

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05564

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05563

2、Google產(chǎn)品安全漏洞

Google Android是美國(guó)谷歌（Google）公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Chrome是一款由Google公司開(kāi)發(fā)的WEB瀏覽器。Google Pixel Watch是美國(guó)谷歌（Google）公司的一款持久耐用的智能手表。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞提升權(quán)限，提交特殊的Web請(qǐng)求，誘使用戶(hù)解析，可以在應(yīng)用程序上下文執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括：Google Android權(quán)限提升漏洞（CNVD-2025-05219、CNVD-2025-05218、CNVD-2025-05221、CNVD-2025-05220）、Google Chrome V8代碼執(zhí)行漏洞（CNVD-2025-05222）、Google Chrome緩沖區(qū)溢出漏洞（CNVD-2025-05393、CNVD-2025-05392）、Google Pixel Watch整數(shù)溢出漏洞。上述漏洞的綜合評(píng)級(jí)為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05219

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05218

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05222

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05221

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05220

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05393

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05392

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05391

3、Adobe產(chǎn)品安全漏洞

Adobe Substance 3D Designer是美國(guó)奧多比（Adobe）公司的一款3D設(shè)計(jì)軟件。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼。

CNVD收錄的相關(guān)漏洞包括：Adobe Substance 3D Designer堆緩沖區(qū)溢出漏洞（CNVD-2025-05199、CNVD-2025-05204、CNVD-2025-05207）、Adobe Substance 3D Designer越界寫(xiě)入漏洞（CNVD-2025-05201、CNVD-2025-05200、CNVD-2025-05202、CNVD-2025-05208）、Adobe Substance 3D Designer內(nèi)存錯(cuò)誤引用漏洞（CNVD-2025-05206）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05199

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05201

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05200

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05202

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05204

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05206

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05208

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05207

4、Microsoft產(chǎn)品安全漏洞

Microsoft Office是美國(guó)微軟（Microsoft）公司的一款辦公軟件套件產(chǎn)品。該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Windows Hyper-V是美國(guó)微軟（Microsoft）公司的一款可提供硬件虛擬化的工具。Microsoft Internet Explorer（IE）是美國(guó)微軟（Microsoft）公司的一款Windows操作系統(tǒng)附帶的Web瀏覽器。Microsoft Access是美國(guó)微軟（Microsoft）公司Office套件中的一套關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。Microsoft Visual Studio是美國(guó)微軟（Microsoft）公司的一款開(kāi)發(fā)工具套件系列產(chǎn)品，也是一個(gè)基本完整的開(kāi)發(fā)工具集，它包括了整個(gè)軟件生命周期中所需要的大部分工具。Microsoft Azure是美國(guó)微軟（Microsoft）公司的一套開(kāi)放的企業(yè)級(jí)云計(jì)算平臺(tái)。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞在系統(tǒng)上獲取提升的權(quán)限，執(zhí)行任意代碼。

CNVD收錄的相關(guān)漏洞包括：Microsoft Office權(quán)限提升漏洞（CNVD-2025-05234）、Microsoft Windows Hyper-V NT Kernel Integration VSP權(quán)限提升漏洞（CNVD-2025-05240、CNVD-2025-05239）、Microsoft Internet Explorer代碼執(zhí)行漏洞、Microsoft Office代碼執(zhí)行漏洞（CNVD-2025-05243）、Microsoft Access代碼執(zhí)行漏洞（CNVD-2025-05244）、Microsoft Visual Studio權(quán)限提升漏洞（CNVD-2025-05245）、Microsoft Azure Arc Installer權(quán)限提升漏洞。其中，除“Microsoft Office權(quán)限提升漏洞（CNVD-2025-05234）、Microsoft Visual Studio權(quán)限提升漏洞（CNVD-2025-05245）、Microsoft Azure Arc Installer權(quán)限提升漏洞”外，其余漏洞的綜合評(píng)級(jí)為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05234

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05239

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05240

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05241

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05243

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05244

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05245

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05560

5、Tenda AC8緩沖區(qū)溢出漏洞（CNVD-2025-05398）

Tenda AC8是中國(guó)騰達(dá)（Tenda）公司的一款無(wú)線路由器。本周，Tenda AC8被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞損壞內(nèi)存并可能造成瀏覽器崩潰。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶(hù)隨時(shí)關(guān)注廠商主頁(yè)，以獲取最新版本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05398

小結(jié)：本周，IBM產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞暴力破解賬戶(hù)憑據(jù)，通過(guò)特制URL請(qǐng)求來(lái)查看系統(tǒng)上的任意文件，導(dǎo)致拒絕服務(wù)，執(zhí)行任意Java代碼。此外，Google、Adobe、Microsoft等多款產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞提升權(quán)限，提交特殊的Web請(qǐng)求，誘使用戶(hù)解析，可以在應(yīng)用程序上下文執(zhí)行任意代碼等。另外，Tenda AC8被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞損壞內(nèi)存并可能造成瀏覽器崩潰。建議相關(guān)用戶(hù)隨時(shí)關(guān)注上述廠商主頁(yè)，及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。

本周，CNVD建議注意防范以下已公開(kāi)漏洞攻擊驗(yàn)證情況。

驗(yàn)證描述

Hoosk是一個(gè)輕量級(jí)的內(nèi)容管理系統(tǒng)。

Hoosk 1.8版本存在跨站腳本漏洞，該漏洞源于Link title和Title參數(shù)對(duì)用戶(hù)提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。

驗(yàn)證信息

POC鏈接：

https://github.com/havok89/Hoosk/issues/67

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05225

信息提供者