CNVD漏洞周报2025年第12期

2025年03月24日-2025年03月30日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞233个，其中高危漏洞115个、中危漏洞108个、低危漏洞10个。漏洞平均分值为6.67。本周收录的漏洞中，涉及0day漏洞142个（占61%），其中互联网上出现“X2CRM跨站脚本漏洞、TRENDnet TEW-929DRU /cbi_addcert.htm页面跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数11941个，与上周（8395个）环比增加42%。

图1CNVD收录漏洞近10周平均分值分布图

图2CNVD0day漏洞总数按周统计

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件2起，向基础电信企业通报漏洞事件6起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件522起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件27起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件19起。

图3CNVD各行业漏洞处置情况按周统计

图4CNCERT各分中心处置情况按周统计

图5CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

紫光股份有限公司、重庆梅安森科技股份有限公司、中林信达（北京）科技信息有限责任公司、中联重科股份有限公司、真珍斑马技术贸易（上海）有限公司、浙江中易慧能科技有限公司、浙江宇视科技有限公司、浙江大华技术股份有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、英飞达软件（上海）有限公司、信呼、新天科技股份有限公司、希迪智驾科技股份有限公司、西安瑞友信息技术资讯有限公司、武汉金同方科技有限公司、卫宁健康科技集团股份有限公司、网是科技股份有限公司、天津环球磁卡集团有限公司、腾讯安全应急响应中心、太原迅易科技有限公司、索尼（中国）有限公司、苏州寻息科技股份有限公司、四平市九州易通科技有限公司、四川互慧软件有限公司、深圳市思迅软件股份有限公司、深圳市世纪伟图科技开发有限公司、深圳市明源云科技有限公司、深圳市磊科实业有限公司、深圳市蓝凌软件股份有限公司、深圳市捷顺科技实业股份有限公司、深圳市吉祥腾达科技有限公司、深圳市车智杰车联网有限公司、深圳市必联电子有限公司、深圳极速创想科技有限公司、深圳国威电子有限公司、上海卓卓网络科技有限公司、上海真兰仪表科技股份有限公司、上海悠络客电子科技股份有限公司、上海熊猫机械（集团）有限公司、上海新致软件股份有限公司、上海物创信息科技有限公司、上海商派网络科技有限公司、上海起迪计算机科技发展有限公司、上海穆云智能科技有限公司、上海肯特仪表股份有限公司、上海恒生聚源数据服务有限公司、上海飞牧网络科技有限公司、上海泛微网络科技股份有限公司、上海博达数据通信有限公司、上海艾泰科技有限公司、熵基科技股份有限公司、山东硕创信息科技有限公司、厦门四信通信科技有限公司、厦门科汛软件有限公司、三星（中国）投资有限公司、青岛海信网络科技股份有限公司、青岛东胜伟业软件有限公司、普联技术有限公司、南京管鲍科技发展有限公司、龙采科技集团有限责任公司、领航未来（北京）科技有限公司、零视技术（上海）有限公司、理光（中国）投资有限公司、廊坊市极致网络科技有限公司、金蝶软件（中国）有限公司、吉翁电子（深圳）有限公司、惠普贸易（上海）有限公司、河北数港科技有限公司、杭州易软共创网络科技有限公司、杭州深度求索人工智能基础技术研究有限公司、杭州博斯软件开发有限公司、汉王科技股份有限公司、广东数夫软件有限公司、富士胶片商业创新（中国）有限公司、福建新大陆通信科技股份有限公司、东芝（中国）有限公司、东营金石软件有限公司、大象慧云信息技术有限公司、成都天问互联科技有限公司、成都和力九垠科技有限公司、畅捷通信息技术股份有限公司、沧州市凡诺广告传媒有限公司、北京中成科信科技发展有限公司、北京致远互联软件股份有限公司、北京星网锐捷网络技术有限公司、北京星立方科技发展股份有限公司、北京小米科技有限责任公司、北京神州视翰科技有限公司、北京趋势威尔网络技术有限公司、北京蓝谷极狐汽车科技有限公司、北京金山办公软件股份有限公司、北京金和网络股份有限公司、北京海睿兴业科技有限公司、北京百容千域软件技术开发有限责任公司、奥琦玮信息科技（北京）有限公司、安科瑞电气股份有限公司和McAfee。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京启明星辰信息安全技术有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司等单位报送公开收集的漏洞数量较多。北京天下信安技术有限公司、成都卫士通信息安全技术有限公司、淮安易云科技有限公司、上海纽盾科技股份有限公司、苏州棱镜七彩信息科技有限公司、北京纽盾网安信息技术有限公司、贵州多彩网安科技有限公司、上海直画科技有限公司、江苏金盾检测技术股份有限公司、中孚安全技术有限公司、中国电信股份有限公司上海研究院、成都久信信息技术股份有限公司、济南三泽信息安全测评有限公司、江苏保旺达软件技术有限公司、江苏云天网络安全技术有限公司、江苏百达智慧网络科技有限公司（含光实验室）、联通数字科技有限公司、浙江工业大学、上海宇辰科技发展有限公司、深圳市大疆创新科技有限公司、中资网络信息安全科技有限公司、北京卓识网安技术股份有限公司、中国石油天然气股份有限公司辽阳石化分公司、北京山石网科信息技术有限公司、国网湖北省电力有限公司恩施供电公司、中华人民共和国山东海事局、北京云弈科技有限公司、北京国信城研科学技术研究院、中国人民财产保险股份有限公司、国家能源集团、湖南泛联新安信息科技有限公司、中国软件评测中心、杭州海康威视数字技术股份有限公司、江苏君立华域信息安全技术股份有限公司、畅捷通信息技术股份有限公司、北京中百信信息技术股份有限公司及其他个人白帽子向CNVD提交了11941个以事件型漏洞为主的原创漏洞，其中包括斗象科技（漏洞盒子）、奇安信网神（补天平台）、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送10783条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了233个漏洞。WEB应用97个，应用程序73个，网络设备（交换机、路由器等网络端设备）30个，智能设备（物联网终端设备）15个，操作系统13个，安全产品3个，数据库2个。

表2漏洞按影响类型统计表

图6本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Adobe、Google、Cisco等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了9个电信行业漏洞，6个移动互联网行业漏洞，2个工控行业漏洞（如下图所示）。其中，“Tenda RX3 /goform/setPptpUserList缓冲区溢出漏洞、Siemens SCALANCE LPE9403权限提升漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7电信行业漏洞统计

图8移动互联网行业漏洞统计

图9工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，或导致应用程序崩溃等。

CNVD收录的相关漏洞包括：Adobe Illustrator越界写入漏洞（CNVD-2025-05688）、Adobe InDesign越界写入漏洞（CNVD-2025-05690、CNVD-2025-05691、CNVD-2025-05692、CNVD-2025-05693）、Adobe Commerce路径遍历漏洞（CNVD-2025-05713）、Adobe Commerce安全绕过漏洞（CNVD-2025-05714）、Adobe Commerce权限提升漏洞（CNVD-2025-05715）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05688

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05690

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05691

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05692

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05693

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05713

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05714

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05715

2、Apache产品安全漏洞

Apache StreamPipes是一个开源的自助式（工业）物联网工具箱，使用户能够连接、分析和探索IIoT数据流。Apache EventMesh是美国阿帕奇（Apache）基金会的新一代无服务器事件中间件，用于构建分布式事件驱动应用程序。Apache Doris是美国阿帕奇（Apache）基金会的一个现代MPP分析数据库产品。可以提供亚秒级查询和高效的实时数据分析。Apache Hive是美国阿帕奇（Apache）基金会的一套基于Hadoop（分布式系统基础架构）的数据仓库软件。该软件提供了一个数据集成方法和一种高级的查询语言，以支持在Hadoop上进行大规模数据分析。Apache Atlas是美国阿帕奇（Apache）基金会的一套可伸缩和可扩展的核心功能治理服务。Apache James是美国阿帕奇（Apache）基金会的一个完全用Java编写的开源Smtp和Pop3邮件传输代理和Nntp新闻服务器。Apache Hadoop是美国阿帕奇（Apache）基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行跨站脚本攻击，并可能假冒其他用户，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Apache StreamPipes权限提升漏洞（CNVD-2025-05698）、Apache EventMesh反序列化漏洞（CNVD-2025-05699）、Apache Doris路径遍历漏洞、Apache Hive授权问题漏洞、Apache Hive信任管理问题漏洞、Apache Atlas跨站脚本漏洞（CNVD-2025-05706）、Apache James资源管理错误漏洞、Apache Hadoop授权问题漏洞（CNVD-2025-05994）。其中，“Apache EventMesh反序列化漏洞（CNVD-2025-05699）、Apache Atlas跨站脚本漏洞（CNVD-2025-05706）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05698

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05699

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05704

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05703

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05702

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05706

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05705

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05994

3、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Vertex AI是美国谷歌（Google）公司的一款Google Cloud控制台工具，用于快速构建生成式AI模型的原型和测试。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android onPrimaryClipChanged权限提升漏洞、Google Vertex AI信息泄露漏洞、Google Chrome安全绕过漏洞（CNVD-2025-06037、CNVD-2025-06040、CNVD-2025-06041、CNVD-2025-06042）、Google Chrome代码执行漏洞（CNVD-2025-06038、CNVD-2025-06039）。其中，除“Google Android onPrimaryClipChanged权限提升漏洞、Google Vertex AI信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05988

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05989

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06037

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06038

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06039

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06040

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06041

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06042

4、Cisco产品安全漏洞

‌Cisco Meraki MX67和Cisco Meraki MX68是思科Meraki系列的云管路由器。Cisco Content Security Management Appliance（SMA）是美国思科（Cisco）公司的一套内容安全管理设备。该设备主要用于管理电子邮件和Web安全设备的所有策略、报告、审计信息等。Cisco TelePresence Management Suite是一款思科公司开发的视频服务器管理程序。Cisco BroadWorks是思科（Cisco）公司的是一个互联网协议语音(VoIP)应用平台。Cisco Secure Email Gateway是美国思科（Cisco）公司的一个安全电子邮件网关软件。Cisco IP Phone是美国思科（Cisco）公司的一个硬件设备。提供通话功能的IP电话。Cisco Unified Contact Center Management Portal是美国思科（Cisco）公司的一个直观且安全的基于Web的应用程序，允许主管和经理实时满足对联络中心的复杂和多变的需求，使联络中心的管理比以往任何时候都更加轻松和高效。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliance是一个网络设备。用于保护各种规模的公司网络和数据中心。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话，获得设备上的root访问权限等。

CNVD收录的相关漏洞包括：Cisco Meraki MX67和Cisco Meraki MX68访问验证错误漏洞、Cisco Content Security Management Appliance访问验证错误漏洞、Cisco TelePresence Management Suite跨站脚本漏洞、Cisco BroadWorks Application Delivery Platform跨站脚本漏洞、Cisco Secure Email Gateway访问控制错误漏洞、Cisco IP Phone信息泄露漏洞、Cisco Unified Contact Center Management Portal跨站脚本漏洞、Cisco Firepower Threat Defense和Cisco Adaptive Security Appliance授权问题漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05712

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05711

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05931

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05934

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05946

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05983

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05984

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05985

5、D-Link DAP-1620 mod_graph_auth_uri_handler函数堆栈缓冲区溢出漏洞

D-Link DAP-1620是中国友讯（D-Link）公司的一个无线中继扩展器。本周，D-Link DAP-1620被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06044

小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，或导致应用程序崩溃等。此外，Apache、Google、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务攻击等。另外，D-Link DAP-1620被披露存在堆栈缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况

本周，CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、X2CRM跨站脚本漏洞

验证描述

X2CRM是一个面向中小企业的下一代开源社交销售应用程序。

X2CRM存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞在创建列表时将恶意JavaScript代码注入“Name”字段。

验证信息

POC链接：

https://okankurtulus.com.tr/2024/09/12/x2crm-v8-5-stored-cross-site-scripting-xss-authenticated/

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-06048

信息提供者

新华三技术有限公司

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

关于CNVD

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国计算机网络应急处理体系中的牵头单位。

作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。

网址：www.cert.org.cn

邮箱：vreport@cert.org.cn

电话：010-82991537

关注CNVD漏洞平台

原文始发于微信公众号（CNVD漏洞平台）：CNVD漏洞周报2025年第12期