(20250324-20250330)

一、境外廠商產(chǎn)品漏洞

1、Adobe Commerce權(quán)限提升漏洞(CNVD-2025-05715)

Adobe Commerce是美國(guó)奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在權(quán)限提升漏洞，攻擊者可利用該漏洞導(dǎo)致權(quán)限升級(jí)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05715

2、Adobe Commerce跨站腳本漏洞(CNVD-2025-05696)

Adobe Commerce是美國(guó)奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在跨站腳本漏洞，攻擊者可利用該漏洞將惡意腳本注入易受攻擊的表單字段。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05696

3、Adobe Commerce安全繞過(guò)漏洞(CNVD-2025-05714)

Adobe Commerce是美國(guó)奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在安全繞過(guò)漏洞，攻擊者可利用該漏洞導(dǎo)致安全功能繞過(guò)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05714

4、Cisco Secure Email Gateway訪問(wèn)控制錯(cuò)誤漏洞

Cisco Secure Email Gateway是美國(guó)思科(Cisco)公司的一個(gè)安全電子郵件網(wǎng)關(guān)軟件。Cisco Secure Email Gateway存在訪問(wèn)控制錯(cuò)誤漏洞，遠(yuǎn)程攻擊者利用漏洞提交特殊的郵件，可以繞過(guò)規(guī)則，進(jìn)行惡意攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05946

5、Apache EventMesh反序列化漏洞(CNVD-2025-05699)

Apache EventMesh是美國(guó)阿帕奇(Apache)基金會(huì)的新一代無(wú)服務(wù)器事件中間件，用于構(gòu)建分布式事件驅(qū)動(dòng)應(yīng)用程序。Apache EventMesh 1.11.0之前版本存在反序列化漏洞，該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理，攻擊者可利用該漏洞通過(guò)hessian反序列化rpc協(xié)議發(fā)送受控消息和遠(yuǎn)程代碼執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05699

二、境內(nèi)廠商產(chǎn)品漏洞

1、ZTE GoldenDB不當(dāng)權(quán)限管理漏洞

?ZTE GoldenDB是中國(guó)中興通訊(ZTE)公司的一款金融級(jí)交易型分布式數(shù)據(jù)庫(kù)。用于金融、政企、電信等行業(yè)，提供高可用數(shù)據(jù)服務(wù)。ZTE GoldenDB 6.1.03至6.1.03.04版本存在不當(dāng)權(quán)限管理漏洞，攻擊者可利用該漏洞導(dǎo)致權(quán)限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06053

2、D-Link DAP-1620 mod_graph_auth_uri_handler函數(shù)堆棧緩沖區(qū)溢出漏洞

D-Link DAP-1620是中國(guó)友訊(D-Link)公司的一個(gè)無(wú)線中繼擴(kuò)展器。D-Link DAP-1620 mod_graph_auth_uri_handler函數(shù)存在堆棧緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06044

3、D-Link DAP-1620 check_dws_cookie函數(shù)堆棧緩沖區(qū)溢出漏洞

D-Link DAP-1620是中國(guó)友訊(D-Link)公司的一個(gè)無(wú)線中繼擴(kuò)展器。D-Link DAP-1620存在堆棧緩沖區(qū)溢出漏洞，該漏洞源于Cookie處理組件check_dws_cookie函數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06043

4、上海上訊信息技術(shù)股份有限公司運(yùn)維管理審計(jì)系統(tǒng)存在文件上傳漏洞

上海上訊信息技術(shù)股份有限公司是一家專注于信息安全技術(shù)的領(lǐng)先供應(yīng)商。上海上訊信息技術(shù)股份有限公司運(yùn)維管理審計(jì)系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05907

5、Huawei HarmonyOS UI框架模塊日志信息控制不當(dāng)漏洞

Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS UI框架模塊存在日志信息控制不當(dāng)漏洞，攻擊者可利用該漏洞影響服務(wù)機(jī)密性。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06052

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)