2025年03月31日-2025年04月06日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞210个,其中高危漏洞94个、中危漏洞106个、低危漏洞10个。漏洞平均分值为6.37。本周收录的漏洞中,涉及0day漏洞145个(占69%),其中互联网上出现“Payroll Management System SQL注入漏洞(CNVD-2025-06475)、CicadasCMS代码注入漏洞(CNVD-2025-06474)”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数13097个,与上周(11941个)环比增加10%。
本周漏洞事件处置情况
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件3起,向基础电信企业通报漏洞事件3起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件157起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件13起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件9起。
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
本周漏洞报送情况统计
本周漏洞按类型和厂商统计
本周,CNVD收录了210个漏洞。WEB应用82个,应用程序69个,网络设备(交换机、路由器等网络端设备)27个,操作系统15个,智能设备(物联网终端设备)14个,数据库2个,安全产品1个。
本周,CNVD收录了21个电信行业漏洞,6个移动互联网行业漏洞,3个工控行业漏洞(如下图所示)。其中,“Rockwell Automation Arena Simulation Software缓冲区溢出漏洞(CNVD-2025-06476)、Xiaomi SmartHome APP信息泄露漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
图9工控系统行业漏洞统计
本周重要漏洞安全告警
1、IBM产品安全漏洞
IBM ApplinX是美国国际商业机器(IBM)公司的一个专注于将绿屏界面转换为基于Web的现代应用程序。IBM Aspera Faspex是美国国际商业机器(IBM)公司的一种用于快速的全球个人对个人文件交付和协作的解决方案。IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞构建恶意URI,诱使请求,可以目标用户上下文执行恶意操作,在Web UI中嵌入任意JavaScript代码,导致可信会话中的凭据泄露等。
CNVD收录的相关漏洞包括:IBM ApplinX跨站请求伪造漏洞(CNVD-2025-06206、CNVD-2025-06205)、IBM ApplinX跨站脚本漏洞(CNVD-2025-06208、CNVD-2025-06207)、IBM Aspera Faspex信息泄露漏洞(CNVD-2025-06209)、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210)、IBM Security Verify Access跨站请求伪造漏洞、IBM Security Verify Access跨站脚本漏洞(CNVD-2025-06213)。其中,“IBM Security Verify Access跨站请求伪造漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06205
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06206
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06207
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06208
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06209
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06210
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06212
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06213
2、Xiaomi产品安全漏洞
Xiaomi GetApps是中国小米(Xiaomi)公司的一个全球应用商店。Xiaomi Router是中国小米(Xiaomi)公司的一系列无线路由器。Xiaomi Mi Sound是中国小米(Xiaomi)公司的一款智能音响APP。Xiaomi手机是小米信息科技有限公司的一款智能手机。Xiaomi AX1800是中国小米公司的一款路由器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码或导致拒绝服务等。
CNVD收录的相关漏洞包括:Xiaomi GetApps代码执行漏洞、Xiaomi Router命令注入漏洞(CNVD-2025-06295、CNVD-2025-06296、CNVD-2025-06298)、Xiaomi Router缓冲区溢出漏洞(CNVD-2025-06294)、Xiaomi Mi Sound信息泄露漏洞、Xiaomi Millet mobile phones文件上传漏洞、Xiaomi AX1800等命令注入漏洞。其中,除“Xiaomi Router命令注入漏洞(CNVD-2025-06295、CNVD-2025-06298)、Xiaomi Router缓冲区溢出漏洞(CNVD-2025-06294)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06293
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06296
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06295
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06294
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06298
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06300
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06303
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06302
3、NVIDIA产品安全漏洞
NVIDIA Riva是NVIDIA发布的一个完全加速的对话式AI应用框架,用于构建使用端到端的多模态对话式AI服务。NVIDIA vGPU Software是美国英伟达(NVIDIA)公司的一个用于为虚拟机提供GPU功能的管理软件。NVIDIA SHIELD Experience是美国英伟达(Nvidia)公司的一款流媒体播放器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致拒绝服务、代码执行和信息泄露等。
CNVD收录的相关漏洞包括:NVIDIA Riva访问控制错误漏洞、NVIDIA Riva riva_quickstart访问控制错误漏洞、NVIDIA vGPU Software资源管理错误漏洞、NVIDIA vGPU Software代码问题漏洞、NVIDIA SHIELD Experience缓冲区溢出漏洞、NVIDIA SHIELD Experience访问控制错误漏洞、NVIDIA SHIELD Experience资源管理错误漏洞、NVIDIA SHIELD Experience代码问题漏洞。其中,“NVIDIA Riva访问控制错误漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06284
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06283
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06286
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06285
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06292
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06291
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06290
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06289
4、Adobe产品安全漏洞
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2025-06305、CNVD-2025-06304、CNVD-2025-06308、CNVD-2025-06307、CNVD-2025-06306、CNVD-2025-06312、CNVD-2025-06311)、Adobe Acrobat Reader资源管理错误漏洞(CNVD-2025-06310)。其中,“Adobe Acrobat Reader资源管理错误漏洞(CNVD-2025-06310)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06305
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06304
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06308
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06307
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06306
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06312
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06311
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06310
5、Tencent Libpag缓冲区溢出漏洞
Tencent Libpag是一款腾讯公司推出的动画库。本周,Tencent Libpag被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06547
小结:本周,IBM产品被披露存在多个漏洞,攻击者可利用漏洞构建恶意URI,诱使请求,可以目标用户上下文执行恶意操作,在Web UI中嵌入任意JavaScript代码,导致可信会话中的凭据泄露等。此外,Xiaomi、NVIDIA、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码或导致拒绝服务等。另外,Tencent Libpag被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
验证描述
Payroll Management System是一个工资管理系统。
Payroll Management System 1.0版本存在SQL注入漏洞,该漏洞源于参数emp_type缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/hak0neP/cve/blob/main/sql-fizz.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-06475
信息提供者
关于CNCERT
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国计算机网络应急处理体系中的牵头单位。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:www.cert.org.cn
邮箱:vreport@cert.org.cn
电话:010-82991537
关注CNVD漏洞平台
原文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2025年第13期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论