漏洞风险提示(20250403)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 MongoDB存在身份验证不当漏洞(CVE-2025-3085)
一、漏洞描述:
MongoDB是一个开源的NoSQL文档数据库,由MongoDB Inc.(原 10gen)开发并维护。
MongoDB在Linux上运行启用了TLS和CRL吊销状态检查时,无法检查对端证书链中中间证书的吊销状态。在MONGODB-X509(默认未启用)的情况下,这可能导致身份验证不当,此问题可能影响集群内部认证。
二、风险等级:
高
三、影响范围:
5.0 <= MongoDB Server < 5.0.31
6.0 <= MongoDB Server < 6.0.20
7.0 <= MongoDB Server < 7.0.16
8.0 <= MongoDB Server < 8.0.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jira.mongodb.org/browse/SERVER-95445
2 Google Chrome Navigations UAF漏洞(360LDYLD-2025-00047650)
一、漏洞描述:
该漏洞允许远程攻击者通过特制的 HTML 页面潜在地利用堆损坏,此类漏洞通常会在成功破坏内存后,导致浏览器崩溃或执行任意代码。
二、风险等级:
严重
三、影响范围:
Google Chrome(Windows/Mac) < 135.0.7049.41/42
Google Chrome(Linux) < 135.0.7049.52
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
3 Apache ActiveMQ Artemis 权限管理不当漏洞(360LDYLD-2025-00047641)
一、漏洞描述:
该漏洞对某个地址具有 createDurableQueue 或 createNonDurableQueue 权限的用户可以增加该地址支持的路由类型,即使该用户没有对该特定地址的 createAddress 权限。当与发送权限和自动队列创建结合使用时,用户可以成功发送具有该地址不支持的路由类型的消息,而实际上由于用户没有更改地址路由类型的权限,该消息应该被拒绝。
二、风险等级:
高
三、影响范围:
Apache ActiveMQ Artemis < 2.40.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://activemq.apache.org/components/artemis/download/
4 NVIDIA Riva访问控制错误漏洞(CVE-2025-23242)
一、漏洞描述:
NVIDIA Riva 是NVIDIA发布的一个完全加速的对话式AI 应用框架,用于构建使用端到端的多模态对话式AI服务。
NVIDIA Riva存在访问控制错误漏洞,攻击者可利用该漏洞篡改数据,造成服务拒绝或信息泄露。
二、风险等级:
高
三、影响范围:
NVIDIA Riva
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nvidia.custhelp.com/app/answers/detail/a_id/5625
页:
[1]