(20250120-20250126)

一、境外廠商產(chǎn)品漏洞

1、Adobe InDesign越界讀取漏洞

Adobe InDesign是美國(guó)奧多比（Adobe）公司的一套排版編輯應(yīng)用程序。Adobe InDesign存在越界讀取漏洞，攻擊者可利用該漏洞導(dǎo)致敏感內(nèi)存泄露。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02143

2、IBM Db2拒絕服務(wù)漏洞

IBM Db2是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一套關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM Db2存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞導(dǎo)致服務(wù)器崩潰。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01792

3、WordPress插件Education LMS跨站腳本漏洞

WordPress是一套使用PHP語言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是一個(gè)應(yīng)用插件。WordPress插件Education LMS 0.0.7版本及之前版本存在跨站腳本漏洞，該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02007

4、Adobe Illustrator越界寫入漏洞

Adobe Illustrator是美國(guó)奧多比（Adobe）公司的一套基于向量的圖像制作軟件。Adobe Illustrator存在越界寫入漏洞，該漏洞源于應(yīng)用在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。攻擊者可利用該漏洞在當(dāng)前用戶的環(huán)境中執(zhí)行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02140

5、IBM Cognos Controller文件上傳漏洞

IBM Cognos Controller是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一套商業(yè)智能與計(jì)劃解決方案。該產(chǎn)品具有流程自動(dòng)化、財(cái)務(wù)審計(jì)控制、創(chuàng)建和管理財(cái)務(wù)報(bào)告等功能。IBM Cognos Controller 11.0.1版本和11.0.0版本存在文件上傳漏洞，該漏洞源于文件類型區(qū)分不足，經(jīng)過身份驗(yàn)證的攻擊者可利用此漏洞上傳不安全的文件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01790

二、境內(nèi)廠商產(chǎn)品漏洞

1、北京亞控科技發(fā)展有限公司開發(fā)中心存在未授權(quán)訪問漏洞

開發(fā)中心將全組態(tài)理念引入智能制造生產(chǎn)管控系統(tǒng)建設(shè)中來，旨在解決傳統(tǒng)模式下智能制造MES系統(tǒng)開發(fā)周期長(zhǎng)、成本高、門檻高等問題。北京亞控科技發(fā)展有限公司開發(fā)中心存在未授權(quán)訪問漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01105

2、WAVLINK AC3000 adm.cgi set_ledonoff函數(shù)命令注入漏洞

WAVLINK AC3000是中國(guó)睿因（WAVLINK）公司的一個(gè)無線路由器。WAVLINK AC3000 M33A8.V5030.210505版本存在命令注入漏洞，該漏洞源于adm.cgi set_ledonoff函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02001

3、新華三技術(shù)有限公司H3C智能管理中心存在文件上傳漏洞

新華三技術(shù)有限公司是一家全球領(lǐng)先的數(shù)字化解決方案領(lǐng)導(dǎo)者。新華三技術(shù)有限公司H3C智能管理中心存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01914

4、用友網(wǎng)絡(luò)科技股份有限公司用友NC存在SQL注入漏洞

用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺(tái)。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01110

5、Huawei HarmonyOS AILife Solution路徑遍歷漏洞

Huawei HarmonyOS AILife Solution是中國(guó)華為（Huawei）公司的一個(gè)智能設(shè)備鏈接操作系統(tǒng)。Huawei HarmonyOS AILife Solution 8.0版本存在路徑遍歷漏洞，攻擊者可利用該漏洞導(dǎo)致音樂主機(jī)文件被非法刪除或文件權(quán)限更改。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02255

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來源：CNVD漏洞平臺(tái)