漏洞风险提示(20250116)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Fortinet FortiOS&FortiProxy身份验证绕过漏洞(CVE-2024-55591)
一、漏洞描述:
FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过 滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。未经身份验证的攻击者可通过向Node.js websocket模块发送特制数据包绕过系统身份验证,从而获得目标系统的超级管理员权限。
二、风险等级:
高
三、影响范围:
0.0 <= FortiOS <= 7.0.16
0.0 <= FortiProxy <= 7.0.19
2.0 <= FortiProxy <= 7.2.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.fortinet.com/upgrade-tool/fortigate
2 Microsoft Office远程代码执行漏洞(CVE-2025-21365)
一、漏洞描述:
Microsoft Office是微软公司开发的办公套件,常用的组件包括Word、Excel、PowerPoint等。Microsoft Office存在 远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。
二、风险等级:
高
三、影响范围:
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft 365 Apps for Enterprise 64-bit Systems
Microsoft 365 Apps for Enterprise 32-bit Systems
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2025-21365
3 Microsoft Outlook远程代码执行漏洞(CVE-2025-21361)
一、漏洞描述:
Microsoft Outlook是微软办公软件套装的组件之一,对Windows自带的Outlook express的功能进行了扩充。Microsoft Outlook存在远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。
二、风险等级:
高
三、影响范围:
Microsoft Outlook for Mac
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2025-21361
4 Adobe Bridge越界写入漏洞(CVE-2024-39386)
一、漏洞描述:
Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。Adobe Bridge 13.0.8及之前版本、14.1.1及之前版本存在越界写入漏洞,攻击者可以利用该漏洞在当前用户的环境中执行任意代码。
二、风险等级:
高
三、影响范围:
Adobe Adobe Bridge <= 14.1.1
Adobe Adobe Bridge <= 13.0.8
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/bridge/apsb24-59.html
页:
[1]