论坛 › 安全预警 › 漏洞风险提示（20250414）

freestyle 发表于 2025-4-14 09:20

漏洞风险提示（20250414）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。
1 Langflow存在远程代码执行漏洞（CVE-2025-3248）
一、漏洞描述：
       
        Langflow存在远程代码执行漏洞（CVE-2025-3248），未经认证的远程攻击者可以构造恶意的HTTP请求，从而执行任意代码。
二、风险等级：
        高
三、影响范围：
        Langflow < 1.3.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.langflow.org/get-started-installation

2 Huawei HarmonyOS内存写入权限绕过漏洞（CVE-2025-31172）
一、漏洞描述：
       
        HarmonyOS是由华为公司开发的一款面向万物互联时代的全新分布式操作系统。它旨在为多种设备提供统一的操作平台，打破传统操作系统的设备限制，创建一个跨设备、跨平台的生态系统。
        Huawei HarmonyOS futex module在5.0.0版本中存在内存写入权限绕过漏洞。该漏洞是由于该模块对内存写操作的权限验证机制存在缺陷，当低权限进程通过系统调用操作futex时，内核未能严格校验内存地址的合法性及访问权限边界。攻击者可通过构造恶意请求绕过内存保护机制，非法篡改内核数据或触发堆缓冲区溢出，从而窃取敏感信息或提升至SYSTEM权限。
二、风险等级：
        高
三、影响范围：
        HarmonyOS 5.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https:/consumer.huawei.com/en/support/bulletin/2025/4/

3 Juniper Networks Junos OS拒绝服务漏洞（CVE-2025-30656）
一、漏洞描述：
       
        Juniper Networks Junos OS是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。
        该漏洞是由于Junos OS的数据包转发引擎（PFE）在处理特定格式的SIP INVITE消息时，对附加特殊元素的处理不当，导致内存损坏，进而导致处理这些数据包的 FPC崩溃。尽管系统会自动重启FPC来恢复，但随后的SIP INVITE消息仍会导致FPC再次崩溃，从而引发持续的拒绝服务。攻击者可利用该漏洞，通过网络发送特制 SIP INVITE消息，无需身份验证即可导致受影响的设备出现持续DoS状态，严重影响网络的可用性，导致服务中断。
二、风险等级：
        高
三、影响范围：
        Juniper Networks Junos OS <21.2R3-S9
        Juniper Networks Junos OS 21.4*<21.4R3-S10
        Juniper Networks Junos OS 22.2*<22.2R3-S6
        Juniper Networks Junos OS 22.4*<22.4R3-S5
        Juniper Networks Junos OS 23.2*<23.2R2-S3
        Juniper Networks Junos OS 23.4*<23.4R2-S3
        Juniper Networks Junos OS 24.2*<24.2R1-S2
        Juniper Networks Junos OS 24.2*<24.2R1-S2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://supportportal.juniper.net/JSA96466

4 Adobe Framemaker堆缓冲区溢出漏洞（CVE-2025-30299）
一、漏洞描述：
       
        Adobe FrameMaker是一款专业的技术文档创作和发布工具，广泛用于创建复杂的结构化文档。
        该漏洞是由于受影响版本在处理某些文件时未能正确管理内存分配和释放，当应用程序尝试访问或操作一个分配在堆内存中的缓冲区时，由于边界检查不足，可能会超出分配的内存范围进行写操作，这种不当的内存操作导致了堆缓冲区溢出。攻击者可以通过构造恶意文件来利用此漏洞。当受害者打开这些恶意文件时，可能会导致在当前用户上下文中执行任意代码。
二、风险等级：
        高
三、影响范围：
        Adobe Framemakers <=2020.8
        Adobe Framemakers <=2022.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https:/helpx.adobe.com/security/products/framemaker/apsb25-33.html

查看完整版本: 漏洞风险提示（20250414）