漏洞风险提示(20250306)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Google Chrome类型混淆漏洞(CVE-2025-0291)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome的V8组件存在类型混淆漏洞,远程攻击者 可利用该漏洞通过特制的HTML页面执行任意代码。
二、风险等级:
高
三、影响范围:
Google Chrome < 131.0.6778.264
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html
2 WeGIA SQL注入漏洞(CVE-2025-22141)
一、漏洞描述:
WeGIA是Nilson Lazarin个人开发者的一个福利机构的网络管理器。WeGIA 3.2.8之前版本的/dao/verificar_recursos_cargo.php端点的cargo参数存在SQL注入漏洞,攻击者可利用该漏洞执行任意SQL命令并破坏数据库的机密性、完整性、可用性。
二、风险等级:
高
三、影响范围:
WeGIA WeGIA < 3.2.8
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-w7hp-2w2c-p636
3 Carbon远程文件包含漏洞(CVE-2025-22145)
一、漏洞描述:
Carbon是Carbon开源的一个DateTime的PHP扩展。Carbon 3.8.4之前版本和2.72.6之前版本存在远程文件包含漏洞,该 漏洞源于程序发送到Carbon::setLocale的用户输入可能包含不安全的文件,攻击者可利用该漏洞在文件夹中上传.php文件,进而可能在 服务器上运行文件中包含的代码。
二、风险等级:
高
三、影响范围:
Carbon Carbon < 3.8.4
Carbon Carbon < 2.72.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/CarbonPHP/carbon/security/advisories/GHSA-j3f9-p6hm-5w6q
4 Ivanti多款产品堆栈缓冲区溢出漏洞(CVE-2025-0283)
一、漏洞描述:
Ivanti Connect Secure(ICS)等都是美国Ivanti公司的产品,Connect Secure是一款安全远程网络连接工具,Policy Secure(IPS)是一个网络访问控制解决方案,Neurons是一款开创性的平台,能简化和自动化IT系统。Ivanti Connect Secure 22.7R2.5之前版本、Policy Secure 22.7R1.2之前版本、Neurons for ZTA gateways 22.7R2.3之前版本存在堆栈缓冲区溢出漏洞,经过身份认证的攻击者可利用该漏洞提升权限。
二、风险等级:
高
三、影响范围:
Ivanti Connect Secure < 22.7R2.5
Ivanti Policy Secure < 22.7R1.2
Ivanti Neurons for ZTA gateways < 22.7R2.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283
页:
[1]