漏洞风险提示(20250415)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Roller by Apache会话管理漏洞(CVE-2025-24859)
一、漏洞描述:
在Apache Roller 6.1.5版本之前存在一个会话管理漏洞,即在用户更改密码后,其活动会话未被正确清除。当用户的密码被用户本人或管理员更改时,现有的会话仍保持活动状态且可用。这使得用户即使在更改密码后仍能通过旧会话访问应用程序,如果密码凭证被泄露,可能会导致未经授权的访问。 此问题影响到Apache Roller的所有版本,包括6.1.4及以下版本。 在 Apache Roller 6.1.5版本中,该漏洞已得到修复。修复措施是通过实现集中式会话管理来实现的,当密码被更改或用户被禁用时,该管理机制能够正确地失效所有活动会话。
二、风险等级:
高
三、影响范围:
roller<=6.1.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/vxv52vdr8nhtjlj6v02w43fdvo0cxw23
2 Tenda AC10栈溢出漏洞(CVE-2025-3161)
一、漏洞描述:
Tenda AC10是一款家用无线路由器,提供无线网络连接和管理功能。
Tenda AC10存在栈溢出漏洞。该漏洞源于/goform/ShutdownSetAdd文件中ShutdownSetAdd函数对list参数的处理不当。攻击者可利用该漏洞远程发起攻击,实现栈溢出进而执行任意代码。
二、风险等级:
高
三、影响范围:
Tenda AC10 16.03.10.13
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tenda.com.cn/
3 北京致远互联软件股份有限公司AnalyticsCloud分析云存在任意文件下载漏洞(CNVD-2025-06994)
一、漏洞描述:
AnalyticsCloud分析云是一个集成了先进数据分析技术和工具的平台,能够处理来自各种数据源的数据,包括云数据、本地数据、传统数据和大数据等。
北京致远互联软件股份有限公司AnalyticsCloud分析云存在任意文件下载漏洞,攻击者可利用该漏洞获取敏感信息。
二、风险等级:
高
三、影响范围:
北京致远互联软件股份有限公司 AnalyticsCloud分析云
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://service.seeyon.com/patchtools/tp.html#/patchList?type=安全补丁&id=165
4 天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞(CNVD-2025-06678)
一、漏洞描述:
天融信科技集团股份有限公司是一家专注于网络安全、大数据与云服务的提供商。
天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
二、风险等级:
高
三、影响范围:
天融信科技集团股份有限公司 上网行为管理系统
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.topsec.com.cn/
页:
[1]