(20250113-20250119)

一、境外廠商產(chǎn)品漏洞

1、IBM Security Directory Integrator操作系統(tǒng)命令注入漏洞

IBM Security Directory Integrator是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一個(gè)集成開(kāi)發(fā)環(huán)境和運(yùn)行時(shí)服務(wù)。IBM Security Directory Integrator存在操作系統(tǒng)命令注入漏洞，該漏洞源于應(yīng)用未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。遠(yuǎn)程經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用該漏洞通過(guò)發(fā)送特制的請(qǐng)求在系統(tǒng)上執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00969

2、Rockwell Automation FactoryTalk Transaction Manager拒絕服務(wù)漏洞

Rockwell Automation FactoryTalk Transaction Manager是美國(guó)羅克韋爾(Rockwell Automation)公司的一個(gè)用于保存數(shù)據(jù)庫(kù)數(shù)據(jù)的控制系統(tǒng)。Rockwell Automation FactoryTalk Transaction Manager處理400端口訪問(wèn)存在安全漏洞，遠(yuǎn)程攻擊者可以利用該漏洞提交特殊的請(qǐng)求，可消耗大量cpu和內(nèi)存資源，造成拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00984

3、IBM Workload Scheduler信息泄露漏洞

IBM Workload Scheduler是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套企業(yè)任務(wù)調(diào)度軟件。該軟件能夠自動(dòng)化控制工作負(fù)載。IBM Workload Scheduler 9.5、10.1和10.2版本存在信息泄露漏洞，該漏洞源于以純文本形式存儲(chǔ)用戶憑證，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00971

4、Adobe Experience Manager跨站腳本漏洞(CNVD-2025-01181)

Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷(xiāo)銷(xiāo)售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞，攻擊者可利用該漏洞在受害者的瀏覽器會(huì)話中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-01181

5、Microsoft Windows Remote Desktop Services遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft Windows Remote Desktop Services是美國(guó)微軟(Microsoft)公司的一個(gè)允許用戶遠(yuǎn)程訪問(wèn)圖形桌面和Windows應(yīng)用程序的功能集合。Microsoft Windows Remote Desktop Services存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是由遠(yuǎn)程桌面服務(wù)組件中的缺陷引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-01184

二、境內(nèi)廠商產(chǎn)品漏洞

1、浙江大華技術(shù)股份有限公司智能物聯(lián)綜合管理平臺(tái)存在命令執(zhí)行漏洞

浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智能物聯(lián)綜合管理平臺(tái)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00420

2、Tenda AC8 sscanf函數(shù)緩沖區(qū)溢出漏洞

Tenda AC8是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC8V4 V16.03.34.06版本存在緩沖區(qū)溢出漏洞，該漏洞源于函數(shù)sscanf中的參數(shù)time未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小，遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00982

3、Foxit PDF Editor緩沖區(qū)溢出漏洞(CNVD-2025-00958)

?Foxit PDF Editor是中國(guó)福昕(Foxit)公司的一款PDF編輯器。Foxit PDF存在緩沖區(qū)溢出漏洞，該漏洞源于在對(duì)對(duì)象執(zhí)行操作之前未驗(yàn)證對(duì)象是否存在，遠(yuǎn)程攻擊者可以利用該漏洞在受影響的PDF編輯器安裝程序上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00958

4、上海鷹谷信息科技有限公司鷹谷_Integle數(shù)字化實(shí)驗(yàn)室存在信息泄露漏洞

上海鷹谷信息科技有限公司(Integle)成立于2013 年，致力于為企業(yè)建立自己的研發(fā)數(shù)據(jù)庫(kù)。上海鷹谷信息科技有限公司鷹谷_Integle數(shù)字化實(shí)驗(yàn)室存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00732

5、D-Link DI-8400 tgfile_htm緩沖區(qū)溢出漏洞

D-Link DI-8400是中國(guó)友訊(D-Link)公司的一款無(wú)線路由器。D-Link DI-8400 tgfile_htm存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可以利用該漏洞提交特殊的請(qǐng)求，可使服務(wù)程序崩潰或以應(yīng)用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00980說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)