freestyle 发表于 2025-3-19 10:03

漏洞风险提示(20250319)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 U-Office Force 身份验证不当漏洞 (CVE-2025-2395)
一、漏洞描述:
      
      е-Eхсеllеnсе的U-Offiсе Fоrсе存在一个不当认证漏洞,允许未经认证的远程攻击者使用特定的API并更改сооkiе以管理员身份登录。
二、风险等级:
      高
三、影响范围:
      U-Office Force<28.0
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://www.edetw.com/aboutuof/

2 Flowise AI 系统任意文件上传漏洞(CVE-2025-26319)
一、漏洞描述:
      
      FlowiseAI‌是一个开源低代码开发平台,专注于构建定制化的大型语言模型(LLM)应用程序,该平台通过图形化界面和 拖拽操作,极大地简化了AI开发的复杂性,使得用户无需编写大量代码即可创建和管理LLM应用‌。FlowiseAI‌ v2.2.6被发现在/арi/v1/аttасhmеnts中存在任意文件上传漏洞,该漏洞允许未经身份验证的攻击者通过“知识上传”功能将任意文件上传到托管代理的服务器,此缺陷可能使攻击者能够通过上传恶意文件、脚本、配置文件甚至 SSH 密钥来远程控制整个服务器。
二、风险等级:
      高
三、影响范围:
      FlоwisеAI Flоwisе v2.2.6
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://github.com/FlowiseAI/Flowise

3 Windbg 远程代码执行漏洞(CVE-2025-2404)
一、漏洞描述:
      
      WinDbg 是微软开发的一款强大的调试器,主要用于调试 Windows 内核、驱动程序、系统服务和应用程序。它具有强大的功能,可以帮助开发人员诊断和修复各种软件问题,例如崩溃、死锁、内存泄漏等。WinDbg的SOS扩展中存在一个远程代码执行漏洞,SOS调试扩展在加载调试组件时未强制验证Microsoft Authenticode数字签名,从而允许加载恶意调试组件。
二、风险等级:
      高
三、影响范围:
      WinDbg WinDbg
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24043

4 Microsoft Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)
一、漏洞描述:
      
      在Windows文件资源管理器中向未经授权的参与者暴露敏感信息会使未经授权的攻击者能够在网络上进行欺骗。
二、风险等级:
      高
三、影响范围:
      Windows Server 2022
      Windows Server 2019 (Server Core installation)
      Windows Server 2019
      Windows 10 Version 1809 for x64-based Systems
      Windows 10 Version 1809 for 32-bit Systems
      Windows Server 2012 R2 (Server Core installation)
      Windows Server 2012 R2
      Windows Server 2016 (Server Core installation)
      Windows Server 2016
      Windows 10 Version 1607 for x64-based Systems
      Windows 10 Version 1607 for 32-bit Systems
      Windows 10 for x64-based Systems
      Windows 10 for 32-bit Systems
      Windows Server 2025
      Windows 11 Version 24H2 for x64-based Systems
      Windows 11 Version 24H2 for ARM64-based Systems
      Windows Server 2022, 23H2 Edition (Server Core installation)
      Windows 11 Version 23H2 for x64-based Systems
      Windows 11 Version 23H2 for ARM64-based Systems
      Windows Server 2025 (Server Core installation)
      Windows 10 Version 22H2 for 32-bit Systems
      Windows 10 Version 22H2 for ARM64-based Systems
      Windows 10 Version 22H2 for x64-based Systems
      Windows 11 Version 22H2 for x64-based Systems
      Windows 11 Version 22H2 for ARM64-based Systems
      Windows 10 Version 21H2 for x64-based Systems
      Windows 10 Version 21H2 for ARM64-based Systems
      Windows 10 Version 21H2 for 32-bit Systems
      Windows Server 2022 (Server Core installation)
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
页: [1]
查看完整版本: 漏洞风险提示(20250319)