漏洞风险提示(20250402)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 飞致云 JumpServer 权限管理不当漏洞(360LDYLD-2025-00046363)
一、漏洞描述:
JumpServer 被披露存在一个权限管理不当漏洞,具有低权限的攻击者可以访问Kubernetes会话功能,通过操纵kubeconfig文件将API请求重定向到由攻击者控制的外部服务器,使得攻击者能够拦截和捕获Kubernetes集群令牌等敏感信息,成功的利用此漏洞最终可导致的未授权的集群访问。
二、风险等级:
高
三、影响范围:
JumpServer <= 4.8.0
JumpServer <= 3.10.18
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jumpserver/jumpserver/releases
2 Vite 任意文件读取漏洞(CVE-2025-31125)
一、漏洞描述:
Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。
该漏洞源于 Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
二、风险等级:
高
三、影响范围:
6.2.0 <= Vite <= 6.2.3
6.1.0 <= Vite <= 6.1.2
6.0.0 <= Vite <= 6.0.12
5.0.0 <= Vite <= 5.4.15
Vite <= 4.5.10
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/vitejs/vite/releases
3 上海上讯信息技术股份有限公司运维管理审计系统存在文件上传漏洞(CNVD-2025-05907)
一、漏洞描述:
上海上讯信息技术股份有限公司是一家专注于信息安全技术的领先供应商。
上海上讯信息技术股份有限公司运维管理审计系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
二、风险等级:
高
三、影响范围:
上海上讯信息技术股份有限公司 运维管理审计系统
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.suninfo.com/
4 Siemens SCALANCE LPE9403权限提升漏洞(CVE-2025-27396)
一、漏洞描述:
Siemens SCALANCE LPE9403是德国西门子(Siemens)公司的一款用于工业现场数据处理的本地处理引擎。用于捕获、收集和预处理工业现场数据。
Siemens SCALANCE LPE9403存在权限提升漏洞,该漏洞源于未正确限制执行某些有效功能所需的权限提升,攻击者可利用该漏洞导致提升权限。
二、风险等级:
高
三、影响范围:
Siemens SCALANCE LPE9403 (6GK5998-3GS00-2AC2) <V4.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://siemens.com
页:
[1]