漏洞风险提示(20250219)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 PostgreSQL SQL注入漏洞 (CVE-2025-1094)
一、漏洞描述:
PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。由于PostgreSQL的psql工具对无效UTF-8字符(例如 hax\xC0′; \! id #)的处理缺陷,导致SQL语句被意外分割,未经身份验证的攻击者可通过构造特制的输入实现SQL注入,从而利用PostgreSQL交互式终端psql来执行任意代码。
二、风险等级:
高
三、影响范围:
17 <= PostgreSQL < 17.3
16 <= PostgreSQL < 16.7
15 <= PostgreSQL < 15.11
14 <= PostgreSQL < 14.16
13 <= PostgreSQL < 13.19
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.postgresql.org/download
2 Xwiki 远程代码执行漏洞(CVE-2025-24893 )
一、漏洞描述:
XWiki 平台由于输入处理不当而存在漏洞,允许未经身份验证的用户通过 SolrSearch 端点执行任意代码。这可能导致 XWiki 安装的机密性、完整性和可用性受到重大破坏。
二、风险等级:
高
三、影响范围:
xwiki-platform >= 5.3-milestone-2, < 15.10.11 < 5.3-milestone-2, 15.10.11
xwiki-platform >= 16.0.0-rc-1, < 16.4.1 < 16.0.0-rc-1, 16.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/xwiki/xwiki-platform/releases
3 IBM 安全验证访问设备代码注入(CVE-2025-0161)
一、漏洞描述:
IBM 安全验证访问设备 10.0.0.0 至 10.0.0.9 和 11.0.0.0 可能允许本地用户由于对代码生成的不当限制而执行任意代码。
二、风险等级:
高
三、影响范围:
Security Verify Access 10.0.0.0 <= 10.0.0.9
Security Verify Access 11.0.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7183788
4 Wireshark拒绝服务漏洞(CVE-2025-1492)
一、漏洞描述:
Wireshark 中存在一个漏洞,特别是在数据包协议和 CBOR 分析器中。此漏洞可能导致在处理特别设计的包数据或捕获文件时崩溃,从而引发拒绝服务条件。攻击者可以通过恶意包注入利用此漏洞,这可能会破坏服务并阻碍网络分析能力。
二、风险等级:
高
三、影响范围:
Wireshark 4.4.0 < 4.4.4
Wireshark 4.2.0 < 4.2.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wireshark.org/download.html
页:
[1]