漏洞风险提示(20250317)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache OFBiz模板引擎注入漏洞(CVE-2025-26865)
一、漏洞描述:
Apache OFBiz是一个开源的企业资源规划(ERP)框架,提供了一套完整的业务应用解决方案。它包括订单管理、库存 管理、会计、客户关系管理等模块,支持高度定制化。OFBiz基于Java开发,具有强大的扩展性和灵活性,适用于各类中小型企业的业务 流程管理。Apache OFBiz模板引擎存在注入漏洞,可能被攻击者利用执行恶意操作。
二、风险等级:
高
三、影响范围:
18.12.17 < Apache OFBiz < 18.12.18
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ofbiz.apache.org/download.html/
2 Keras 深度学习框架任意代码执行漏洞(CVE-2025-1550)
一、漏洞描述:
Keras 以其多功能性而闻名,支持 JAX、TensorFlow、PyTorch 和 OpenVINO 等后端。它使开发者能够为各种应用构建和训练模型,包括计算机视觉、自然语言处理、音频处理、时间序列预测和推荐系统。攻击者可以通过操纵存档内的config.json文件来 利用这一点。这种操纵允许他们指定任意的 Python 模块和函数,以及它们的参数,然后在模型加载过程中加载和执行。
二、风险等级:
高
三、影响范围:
Keras < 3.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/keras-team/keras/releases/tag/v3.9.0
3 JeeWMS任意文件读取漏洞(CVE-2024-27765)
一、漏洞描述:
JeeWMS是JeeWMS开源的一个基于 JAVA 的仓库管理系统。 JeeWMS v.3.7 及之前版本存在安全漏洞,该漏洞源于允许远程攻击者通过 cgformTemplateController 组件获取敏感信息。
二、风险等级:
高
三、影响范围:
JeeWMS <= v.3.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.huayi-tec.com/
4 Ivanti Secure Access Client 安全漏洞(CVE-2025-22454)
一、漏洞描述:
Ivanti Secure Access Client是美国Ivanti公司的一个安全软件客户端。Ivanti Secure Access Client 22.7R4之前 版本存在安全漏洞,该漏洞源于权限限制不足,可能导致权限提升。
二、风险等级:
高
三、影响范围:
Ivanti Secure Access Client < 22.7R4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://forums.ivanti.com/s/article/March-Security-Advisory-Ivanti-Secure-Access-Client-ISAC-CVE-2025-22454?language=en_US
页:
[1]