(20250331-20250406)

一、境外廠商產(chǎn)品漏洞

1、IBM Security Verify Access信息泄露漏洞（CNVD-2025-06210）

IBM Security Verify Access（ISAM）是美國國際商業(yè)機器（IBM）公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯(lián)合以及移動多因子認證實現(xiàn)對Web、移動、IoT和云技術(shù)等平臺安全簡單的訪問。IBM Security Verify Access存在信息泄露漏洞，該漏洞源于在通信通道中以明文形式傳輸敏感或安全關(guān)鍵數(shù)據(jù)，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06210

2、Adobe Acrobat Reader資源管理錯誤漏洞（CNVD-2025-06310）

Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Acrobat Reader存在安全漏洞，攻擊者可利用該漏洞導(dǎo)致在當前用戶的環(huán)境中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06310

3、IBM ApplinX跨站請求偽造漏洞

IBM ApplinX是美國國際商業(yè)機器（IBM）公司的一個專注于將綠屏界面轉(zhuǎn)換為基于Web的現(xiàn)代應(yīng)用程序。IBM ApplinX存在跨站請求偽造漏洞，攻擊者可利用該漏洞構(gòu)建惡意URI，誘使請求，可以目標用戶上下文執(zhí)行惡意操作。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06205

4、NVIDIA Riva riva_quickstart訪問控制錯誤漏洞

NVIDIA Riva是NVIDIA發(fā)布的一個完全加速的對話式AI應(yīng)用框架，用于構(gòu)建使用端到端的多模態(tài)對話式AI服務(wù)。NVIDIA Riva riva_quickstart存在訪問控制錯誤漏洞，攻擊者可利用該漏洞提交特殊的請求，導(dǎo)致數(shù)據(jù)篡改或拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06283

5、Adobe Illustrators棧緩沖區(qū)溢出漏洞（CNVD-2025-06309）

Adobe Illustrator是一款由Adobe公司開發(fā)的專業(yè)矢量圖形設(shè)計軟件，廣泛應(yīng)用于平面設(shè)計、插畫創(chuàng)作、網(wǎng)頁設(shè)計等領(lǐng)域。Adobe Illustrators在29.1、28.7.3及之前版本中存在棧緩沖區(qū)溢出漏洞。該漏洞是由于受影響版本在處理文件時，未能正確驗證輸入數(shù)據(jù)的邊界導(dǎo)致棧緩沖區(qū)溢出。攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06309

二、境內(nèi)廠商產(chǎn)品漏洞

1、Xiaomi router命令注入漏洞（CNVD-2025-06298）

?Xiaomi router是中國小米（Xiaomi）公司的一系列無線路由器。Xiaomi routers存在命令注入漏洞，該漏洞源于對外接口返回的響應(yīng)過濾不足，攻擊者可以利用該漏洞通過劫持ISP或上層路由器來獲取權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06298

2、Huawei HarmonyOS media library模塊權(quán)限校驗漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS media library模塊存在權(quán)限校驗漏洞，攻擊者可利用該漏洞導(dǎo)致機密性受影響。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06202

3、Xiaomi cloud service Application跨站腳本漏洞

Xiaomi cloud service Application是中國小米（Xiaomi）公司的一款云服務(wù)APP。Xiaomi cloud service Application存在跨站腳本漏洞，該漏洞源于白名單檢查功能允許加載javascript協(xié)議，攻擊者可以利用該漏洞竊取帳戶的cookie。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06297

4、佳能Canon vb-c60攝像頭存在遠程控制后門漏洞

日本佳能是一家致力于圖像、光學和辦公自動化產(chǎn)品的日本公司，產(chǎn)品包括照相機、攝像機、復(fù)印機、傳真機、影像掃描器和打印機等。佳能（canon）vb-c60攝像頭存在遠程控制后門漏洞，允許攻擊者在無需身份認證的情況，向image.cgi發(fā)送帶有特定參數(shù)的get請求，進而可控制攝像頭上下，左右轉(zhuǎn)動，調(diào)整焦距。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2015-02691

5、Xiaomi GetApps代碼執(zhí)行漏洞

Xiaomi GetApps是中國小米（Xiaomi）公司的一個全球應(yīng)用商店。Xiaomi GetApps存在代碼執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06293

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

文章來源：CNVD漏洞平臺