(20250127-20250209)

一、境外廠商產(chǎn)品漏洞

1、Microsoft Message Queuing拒絕服務(wù)漏洞

Microsoft Message Queuing是用于實(shí)現(xiàn)需要高性能的異步和同步場(chǎng)景的解決方案。

Microsoft Message Queuing存在安全漏洞。攻擊者可利用該漏洞導(dǎo)致系統(tǒng)拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02135

2、Dell BIOS緩沖區(qū)溢出漏洞

Dell BIOS是美國(guó)戴爾（Dell）公司的一個(gè)計(jì)算機(jī)主板上小型內(nèi)存芯片上的嵌入式軟件。

Dell BIOS存在安全漏洞。攻擊者利用該漏洞導(dǎo)致系統(tǒng)拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02575

3、Magma堆棧緩沖區(qū)溢出漏洞

Magma是Magma開(kāi)源的一個(gè)開(kāi)源軟件平臺(tái)。為網(wǎng)絡(luò)運(yùn)營(yíng)商提供開(kāi)放、靈活和可擴(kuò)展的移動(dòng)核心網(wǎng)絡(luò)解決方案。

Magma存在堆棧緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞通過(guò)發(fā)送包含超大“Emergency Number List”信息元素的NAS數(shù)據(jù)包，使MME與未經(jīng)身份驗(yàn)證的手機(jī)崩潰。

參考鏈接：http://cnvd.org.cn/flaw/show/CNVD-2025-02447

4、Siemens Tecnomatix Plant Simulation緩沖區(qū)錯(cuò)誤漏洞

Siemens Tecnomatix Plant Simulation是德國(guó)西門子（Siemens）公司的一個(gè)工控設(shè)備。利用離散事件仿真的強(qiáng)大功能進(jìn)行生產(chǎn)量分析和優(yōu)化，進(jìn)而改善制造系統(tǒng)性能。

Tecnomatix Plant Simulation 16.0.5之前版本存在緩沖區(qū)錯(cuò)誤漏洞。該漏洞源于程序解析SPP文件時(shí)，PlantSimCore.dll庫(kù)缺少對(duì)用戶提供的數(shù)據(jù)的正確驗(yàn)證。攻擊者可利用漏洞導(dǎo)致內(nèi)存損壞。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02601

5、IBM Cognos Controller和IBM Controller信任管理問(wèn)題漏洞

IBM Cognos Controller是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一套商業(yè)智能與計(jì)劃解決方案。該產(chǎn)品具有流程自動(dòng)化、財(cái)務(wù)審計(jì)控制、創(chuàng)建和管理財(cái)務(wù)報(bào)告等功能。

IBM Cognos Controller和IBM Controller存在信任管理問(wèn)題漏洞，該漏洞源于證書驗(yàn)證不當(dāng)，攻擊者可利用該漏洞獲取有效令牌，從而訪問(wèn)受保護(hù)的資源。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02545

二、境內(nèi)廠商產(chǎn)品漏洞

1、深圳市藍(lán)凌軟件股份有限公司藍(lán)凌OA存在任意文件讀取漏洞

藍(lán)凌OA是一款智能辦公自動(dòng)化系統(tǒng)，旨在幫助企業(yè)實(shí)現(xiàn)高效、智能的辦公管理。

深圳市藍(lán)凌軟件股份有限公司藍(lán)凌OA存在任意文件讀取漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-01410

2、暢捷通信息技術(shù)股份有限公司暢捷通T+存在目錄遍歷漏洞

暢捷通T+是一款靈動(dòng)、智慧、時(shí)尚的互聯(lián)網(wǎng)管理軟件，主要針對(duì)中小型工貿(mào)和商貿(mào)企業(yè)的財(cái)務(wù)業(yè)務(wù)一體化應(yīng)用，融入了社交化、移動(dòng)化、物聯(lián)網(wǎng)、電子商務(wù)、互聯(lián)網(wǎng)信息訂閱等元素。

暢捷通信息技術(shù)股份有限公司暢捷通T+存在目錄遍歷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-01411

3、Huawei Myna輸入驗(yàn)證錯(cuò)誤漏洞

Huawei Myna是中國(guó)華為（Huawei）公司的一款智能音箱。

Huawei Myna存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于某模塊在某種場(chǎng)景下沒(méi)有對(duì)輸入進(jìn)行充分完整性校驗(yàn)。攻擊者可利用該漏洞影響設(shè)備的正常服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02557

4、WAVLINK AC3000 internet.cgi set_add_routing函數(shù)緩沖區(qū)溢出漏洞

WAVLINK AC3000是中國(guó)睿因（WAVLINK）公司的一個(gè)無(wú)線路由器。

WAVLINK AC3000 M33A8.V5030.210505版本存在緩沖區(qū)溢出漏洞，該漏洞源于internet.cgi set_add_routing函數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小，遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02540

5、D-Link DIR-816A2 formDMZ.cgi組件訪問(wèn)控制錯(cuò)誤漏洞

D-Link DIR-816A2是中國(guó)友訊（D-Link）公司的一款路由器。

D-Link DIR-816A2存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于formDMZ.cgi組件的訪問(wèn)控制不當(dāng)，攻擊者可利用該漏洞通過(guò)特制POST請(qǐng)求設(shè)置DMZ服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-02531

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)