(20250324-20250330)

一、境外廠商產(chǎn)品漏洞

1、Adobe Commerce權(quán)限提升漏洞(CNVD-2025-05715)

Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在權(quán)限提升漏洞，攻擊者可利用該漏洞導(dǎo)致權(quán)限升級。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05715

2、Adobe Commerce跨站腳本漏洞(CNVD-2025-05696)

Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在跨站腳本漏洞，攻擊者可利用該漏洞將惡意腳本注入易受攻擊的表單字段。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05696

3、Adobe Commerce安全繞過漏洞(CNVD-2025-05714)

Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在安全繞過漏洞，攻擊者可利用該漏洞導(dǎo)致安全功能繞過。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05714

4、Cisco Secure Email Gateway訪問控制錯誤漏洞

Cisco Secure Email Gateway是美國思科(Cisco)公司的一個安全電子郵件網(wǎng)關(guān)軟件。Cisco Secure Email Gateway存在訪問控制錯誤漏洞，遠(yuǎn)程攻擊者利用漏洞提交特殊的郵件，可以繞過規(guī)則，進(jìn)行惡意攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05946

5、Apache EventMesh反序列化漏洞(CNVD-2025-05699)

Apache EventMesh是美國阿帕奇(Apache)基金會的新一代無服務(wù)器事件中間件，用于構(gòu)建分布式事件驅(qū)動應(yīng)用程序。Apache EventMesh 1.11.0之前版本存在反序列化漏洞，該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理，攻擊者可利用該漏洞通過hessian反序列化rpc協(xié)議發(fā)送受控消息和遠(yuǎn)程代碼執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05699

二、境內(nèi)廠商產(chǎn)品漏洞

1、ZTE GoldenDB不當(dāng)權(quán)限管理漏洞

?ZTE GoldenDB是中國中興通訊(ZTE)公司的一款金融級交易型分布式數(shù)據(jù)庫。用于金融、政企、電信等行業(yè)，提供高可用數(shù)據(jù)服務(wù)。ZTE GoldenDB 6.1.03至6.1.03.04版本存在不當(dāng)權(quán)限管理漏洞，攻擊者可利用該漏洞導(dǎo)致權(quán)限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06053

2、D-Link DAP-1620 mod_graph_auth_uri_handler函數(shù)堆棧緩沖區(qū)溢出漏洞

D-Link DAP-1620是中國友訊(D-Link)公司的一個無線中繼擴(kuò)展器。D-Link DAP-1620 mod_graph_auth_uri_handler函數(shù)存在堆棧緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06044

3、D-Link DAP-1620 check_dws_cookie函數(shù)堆棧緩沖區(qū)溢出漏洞

D-Link DAP-1620是中國友訊(D-Link)公司的一個無線中繼擴(kuò)展器。D-Link DAP-1620存在堆棧緩沖區(qū)溢出漏洞，該漏洞源于Cookie處理組件check_dws_cookie函數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06043

4、上海上訊信息技術(shù)股份有限公司運維管理審計系統(tǒng)存在文件上傳漏洞

上海上訊信息技術(shù)股份有限公司是一家專注于信息安全技術(shù)的領(lǐng)先供應(yīng)商。上海上訊信息技術(shù)股份有限公司運維管理審計系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05907

5、Huawei HarmonyOS UI框架模塊日志信息控制不當(dāng)漏洞

Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS UI框架模塊存在日志信息控制不當(dāng)漏洞，攻擊者可利用該漏洞影響服務(wù)機(jī)密性。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06052

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺