漏洞风险提示(20250226)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Trix跨站脚本漏洞(CVE-2025-21610)
一、漏洞描述:
Trix是Basecamp开源的一个适用于日常写作的丰富文本编辑器。
Trix 2.1.12之前版本存在跨站脚本漏洞,攻击者可利用该漏洞通过链接字段发送恶意代码,诱导用户复制和粘贴该“javascript:”URL,在用户会话环境中执行任意JavaScript代码,进而导致敏感信息泄露。
二、风险等级:
高
三、影响范围:
Trix Trix < 2.1.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://gist.github.com/th4s1s/3921fd9c3e324ad9a3e0d846166e3eb8
2 SiYuan任意文件删除漏洞(CVE-2025-21609)
一、漏洞描述:
SiYuan是SiYuan开源的一个隐私至上的个人知识管理系统。
SiYuan 3.1.18版本的POST /api/history/getDocHistoryContent端点存在任意文件删除漏洞,攻击者可利用该漏洞通过特制的载荷删除服务器上的任意文件。
二、风险等级:
高
三、影响范围:
SiYuan SiYuan 3.1.18
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/siyuan-note/siyuan/commit/d9887aeec1b27073bec66299a9a4181dc42969f3
3 iTerm2信息泄露漏洞(CVE-2025-22275)
一、漏洞描述:
iTerm2是George Nachman个人开发者的一款为Mac OS X编写的终端仿真程序。
iTerm2 3.5.6至3.5.11之前版本的it2ssh和SSH集成配置存在信息泄露漏洞,远程攻击者可利用该漏洞通过读取/tmp/framer.txt文件获取终端命令相关的敏感信息。
二、风险等级:
高
三、影响范围:
iTerm2 iTerm2 >= 3.5.6 < 3.5.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://gitlab.com/gnachman/iterm2/-/wikis/SSH-Integration-Information-Leak
4 Microsoft PC Manager权限提升漏洞(CVE-2025-21322)
一、漏洞描述:
Microsoft PC Manager是来自微软官方的应用程序,提升电脑性能,轻松又舒适。
Microsoft PC Manager存在权限提升漏洞,攻击者可利用该漏洞提升权限。
二、风险等级:
高
三、影响范围:
Microsoft PC Manager
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2025-21322
页:
[1]