(20250310-20250316)

一、境外廠商產(chǎn)品漏洞

1、Google Chrome代碼執(zhí)行漏洞(CNVD-2025-05091)

Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 132.0.6834.83之前版本存在代碼執(zhí)行漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05091

2、Apache Tomcat遠程代碼執(zhí)行漏洞

Apache Tomcat是一個開源的輕量級Java Web服務器和Servlet容器，專為運行Java Servlet和JSP設計的核心工具，支持動態(tài)內(nèi)容處理并托管靜態(tài)資源，是中小型Java Web應用開發(fā)與部署的基石。Apache Tomcat存在遠程代碼執(zhí)行漏洞，該漏洞源于當應用程序DefaultServlet啟用寫入功能(默認情況下禁用)、使用 Tomcat默認會話持久機制和存儲位置、依賴庫存在反序列化利用鏈時所致，未授權攻擊者可利用漏洞執(zhí)行惡意代碼獲取服務器權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04973

3、Adobe Experience Manager跨站腳本漏洞(CNVD-2025-04681)

Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構建網(wǎng)站、移動應用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在安全漏洞，攻擊者可利用該漏洞將惡意腳本注入易受攻擊的表單字段。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04681

4、Adobe Experience Manager跨站腳本漏洞(CNVD-2025-04683)

Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構建網(wǎng)站、移動應用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在安全漏洞，攻擊者可利用該漏洞將惡意腳本注入易受攻擊的表單字段。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04683

5、TRENDnet TEW-929DRU /addschedule.htm頁面跨站腳本漏洞

TRENDnet TEW-929DRU是美國趨勢網(wǎng)絡(TRENDnet)公司的一款無線路由器。TRENDnet TEW-929DRU 1.0.0.10版本存在跨站腳本漏洞，該漏洞源于/addschedule.htm頁面上have_same_name函數(shù)內(nèi)的r_name變量對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過注入精心設計的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05094

二、境內(nèi)廠商產(chǎn)品漏洞

1、北京火絨網(wǎng)絡科技有限公司火絨安全軟件存在權限提升漏洞

火絨安全軟件是一款免費的電腦防御及殺毒類安全軟件。北京火絨網(wǎng)絡科技有限公司火絨安全軟件存在權限提升漏洞，攻擊者可利用該漏洞提升權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03894

1、北京神州綠盟科技有限公司SAG安全網(wǎng)關存在邏輯缺陷漏洞

?SAG安全網(wǎng)關是一種智能接入網(wǎng)關服務。北京神州綠盟科技有限公司SAG安全網(wǎng)關存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04768

2、北京天融信科技有限公司上網(wǎng)行為管理系統(tǒng)存在命令執(zhí)行漏洞

北京天融信科技有限公司是一家信息安全產(chǎn)品與服務解決方案提供商。北京天融信科技有限公司上網(wǎng)行為管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04753

3、北京天融信科技有限公司上網(wǎng)行為管理存在命令執(zhí)行漏洞

北京天融信科技有限公司是一家信息安全產(chǎn)品與服務解決方案提供商。北京天融信科技有限公司上網(wǎng)行為管理存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04750

4、TOTOlink A3002R static_gw參數(shù)緩沖區(qū)溢出漏洞

TOTOLINK A3002R是中國吉翁電子(TOTOLINK)公司的一款無線路由器。TOTOLINK A3002R V1.1.1-B20200824.0128版本存在緩沖區(qū)溢出漏洞，該漏洞源于static_gw參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05098

5、上海上訊信息技術股份有限公司運維管理審計系統(tǒng)存在命令執(zhí)行漏洞

上海上訊信息技術股份有限公司(以下簡稱“上訊信息”)，是數(shù)據(jù)、智能安全運維、移動安全、安全服務等領域國內(nèi)領先供應商之一。上海上訊信息技術股份有限公司運維管理審計系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-04835

說明：關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺