漏洞风险提示(20250311)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 REDCap跨站脚本漏洞(CVE-2025-23112)
一、漏洞描述:
REDCap是REDCap开源的一款数据收集和管理Web应用程序。
REDCap 14.9.6版本的调查字段名称存在跨站脚本漏洞,经过身份认证的攻击者可利用该漏洞在调查的字段名称中注入并执行恶意脚本。
二、风险等级:
高
三、影响范围:
REDCap REDCap 14.9.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ping-oui-no/Vulnerability-Research-CVESS/blob/main/RedCap/CVE_YYYY/README.md
2 Palo Alto Networks Expedition任意文件删除漏洞(CVE-2025-0105)
一、漏洞描述:
Palo Alto Networks Expedition是美国Palo Alto Networks公司的一种有助于配置迁移、调优和丰富的工具。
Palo Alto Networks Expedition存在任意文件删除漏洞,未经身份认证的攻击者可利用该漏洞删除主机文件系统上www数据用户可访问的任意文件。
二、风险等级:
高
三、影响范围:
Palo Alto Networks Expedition
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.paloaltonetworks.com/PAN-SA-2025-0001
3 Palo Alto Networks Expedition操作系统命令注入漏洞(CVE-2025-0107)
一、漏洞描述:
Palo Alto Networks Expedition是美国Palo Alto Networks公司的一种有助于配置迁移、调优和丰富的工具。
Palo Alto Networks Expedition存在操作系统命令注入漏洞,未经身份认证的攻击者可利用该漏洞运行任意OS命令,进而泄露用户名、明文密码、设备配置和设备API密钥。
二、风险等级:
高
三、影响范围:
Palo Alto Networks Expedition
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.paloaltonetworks.com/PAN-SA-2025-0001
4 Atheos代码注入漏洞(CVE-2025-22152)
一、漏洞描述:
Atheos是Atheos开源的一个基于浏览器的自托管云IDE。
Atheos 600之前版本存在代码注入漏洞,该漏洞源于$path和$target参数未正确验证多个组件,攻击者可利用该漏洞读取、修改或执行任意文件。
二、风险等级:
高
三、影响范围:
Atheos Atheos < 600
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Atheos/Atheos/security/advisories/GHSA-rgjm-6p59-537v
页:
[1]