漏洞风险提示(20250227)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Cisco NX-OS软件命令注射漏洞(CVE-2025-20161)
一、漏洞描述:
针对Cisco Nexus 3000系列交换机和Cisco Nexus 9000系列交换机在独立NX-OS模式下的软件升级流程存在一个漏洞。 拥有有效管理员凭据的本地已认证攻击者可能会利用此漏洞对受影响设备的基础操作系统执行命令注入攻击。这一漏洞是由于软件映像中的某些特定元素缺乏足够的验证所致。攻击者可以通过安装定制映像来利用此漏洞。成功利用此漏洞的攻击者可能会以root权限在基础操作系统上执行任意命令。管理员应在安装前验证软件映像的哈希值。
二、风险等级:
高
三、影响范围:
Cisco Nexus 3000 Series Switches
Cisco Nexus 9000 Series Switches
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ici-dpOjbWxk
2 IBM Cloud PAK用于数据跨站点脚本(CVE-2025-0719)
一、漏洞描述:
IBM Cloud Pak for Data 4.0.0至4.8.5和5.0.0版本存在跨站脚本漏洞。该漏洞允许未经身份验证的攻击者在Web UI中嵌入任意JavaScript代码,从而改变预期功能,可能导致在受信任会话中泄露凭据。
二、风险等级:
高
三、影响范围:
4.0.0<IBM Cloud Pak for Data<4.8.5
IBM Cloud Pak for Data=5.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7184173
3 Seacms SQL注入漏洞(CVE-2025-25516)
一、漏洞描述:
Seacms <=13.3 在 admin_paylog.php 中存在 SQL 注入漏洞。
二、风险等级:
高
三、影响范围:
Seacms <=13.3
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.seacms.com/
4 Redis输入验证错误漏洞(CVE-2024-51741)
一、漏洞描述:
Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value )存储数据库,并提供多种语言的API。Redis 7.2.7之前版本、7.4.2之前版本存在输入验证错误漏洞,经过身份认证的攻击者可利用该 漏洞创建格式错误的ACL选择器,进而导致服务器死机和拒绝服务。
二、风险等级:
高
三、影响范围:
Redis Redis < 7.4.2
Redis Redis < 7.2.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/redis/redis/security/advisories/GHSA-prpq-rh5h-46g9
页:
[1]