漏洞风险提示(20250224)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 IBM OpenPages with Watson 代码问题漏洞(CVE-2024-49781)
一、漏洞描述:
BM OpenPages with Watson是美国国际商业机器(IBM)公司的一个AI驱动的金融风险分析解决方案。该平台基于AI技 术来预测风险系数,将风险数据通过集成、自动识别、测量、监控、分析、管理等步骤将金融活动中的风险最小化。IBM OpenPages with Watson 8.3版本和9.0版本存在代码问题漏洞,该漏洞源于容易受到 XML 外部实体注入 (XXE) 攻击,导致敏感信息泄露或消耗内存资源。
二、风险等级:
高
三、影响范围:
openpages_with_watson = 9.0
openpages_with_watson = 8.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7183541
2 YesWiki跨站脚本漏洞(CVE-2025-24018)
一、漏洞描述:
YesWiki是法国YesWiki组织的一个用PHP编写的wiki系统。用于以协作方式创建和管理网站。 YesWiki 4.4.5及之前版 本存在跨站脚本漏洞,该漏洞源于attach组件处理不存在的文件名时输入验证不当,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
二、风险等级:
高
三、影响范围:
yeswiki <= 4.4.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/YesWiki/yeswiki/security/advisories/GHSA-w59h-3x3q-3p6j
3 Mozilla多个产品越界写入漏洞(CVE-2025-1020)
一、漏洞描述:
Mozilla Firefox是一款开源的WEB浏览器。 Mozilla Firefox存在内存破坏漏洞,远程攻击者可利用该漏洞提交特殊的Web请求,诱使用户解析,可以应用程序上下文执行任意代码。
二、风险等级:
高
三、影响范围:
Firefox < 135
Thunderbird < 135
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/
4 Google Chrome DevTools内存错误引用漏洞(CVE-2025-0762)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。 Google Chrome DevTools存在内存错误引用漏洞,攻击 者可利用该漏洞执行任意代码。
二、风险等级:
高
三、影响范围:
Chromium < 132.0.2957.140
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html
页:
[1]