漏洞风险提示(20250208)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 SonicWall反序列化漏洞(CVE-2025-23006)
一、漏洞描述:
SMA1000 设备管理控制台(AMC)和中央管理控制台(CMC)中已发现未经验证的预身份验证反序列化不受信任数据漏洞,在特定条件下可能使远程未认证攻击者执行任意操作系统命令。
二、风险等级:
高
三、影响范围:
SMA1000 < 12.4.3-02804
四、修复建议:
目前厂商已发布临时缓解措施,获取链接:
https://www.sonicwall.com/support/knowledge-base/product-notice-urgent-security-notification-sma-1000/250120090802840
2 Cacti 多行SNMP响应验证致代码执行漏洞(CVE-2025-22604)
一、漏洞描述:
Cacti是一个开源的性能和故障管理框架。由于多行SNMP结果解析器中的漏洞,经过身份验证的用户可以在响应中注入 恶意代码,在后续解析时导致命令执行漏洞。
二、风险等级:
高
三、影响范围:
Cacti < 1.2.29
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Cacti/cacti/releases/tag/release%2F1.2.29
3 Cacti 任意文件创建致远程代码执行漏洞(CVE-2025-24367)
一、漏洞描述:
Cacti 是一个开源的性能和故障管理框架。经身份验证的Cacti用户可利用图表创建和图表模板功能,在应用程序的Web根目录中创建任意的PHP文件,进而导致服务器上的远程代码执行。
二、风险等级:
高
三、影响范围:
Cacti < 1.2.29
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Cacti/cacti/releases/tag/release%2F1.2.29
4 SeaCMS SQL注入漏洞(CVE-2024-44921)
一、漏洞描述:
SeaCMS是海洋CMS(SeaCMS)公司的一套使用PHP编写的免费、开源的网站内容管理系统,该系统主要被设计用来管理视频点播资源。SeaCMS 12.9版本存在SQL注入漏洞,该漏洞源于dmplayer/dmku/index.php?ac=del接口中的id参数处理不当,攻击者可以利用该漏洞导致SQL注入攻击。
二、风险等级:
高
三、影响范围:
SeaCMS SeaCMS = 12.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.seacms.net/
页:
[1]