漏洞风险提示(20250422)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 PyTorch远程代码执行漏洞(CVE-2025-32434)
一、漏洞描述:
PyTorch是一个Python软件包,可提供具有强大GPU加速的张量计算和基于磁带的autograd系统构建的深度神经网络。
在版本2.5.1及更早版本中,使用weights_only=True的torch.load加载模型时,PyTorch中存在远程命令执行漏洞。
二、风险等级:
高
三、影响范围:
Pytorch<2.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pytorch/pytorch
2 Oracle Database Server未授权访问漏洞(CVE-2025-30736)
一、漏洞描述:
Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。
Oracle Database Server在19.3至19.26版本,21.3至21.17版本,23.4至23.7版本存在未授权访问漏洞。该漏洞与Java VM组件有关,允许未经身份验证的攻击者通过复杂的网络攻击破坏Java VM,进而对关键数据进行未经授权的操作。
二、风险等级:
高
三、影响范围:
19.3<= Oracle Database Server <=19.26
21.3<= Oracle Database Server <=21.17
23.4<= Oracle Database Server <=23.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuapr2025.html
3 WordPress WPJobBoard插件跨站请求伪造漏洞(CVE-2025-30967)
一、漏洞描述:
WPJobBoard是一款付费的WordPress作业板插件,可让用户向网站添加功能强大的作业搜索引擎。
WordPress WPJobBoard插件5.11.1之前版本中存在跨站请求伪造漏洞。该漏洞是由于上传功能缺乏CSRF保护和文件验证。攻击者可以利用该漏洞上传恶意WebShell到Web服务器,从而实现远程代码执行,进而完全控制受影响的服务器。
二、风险等级:
高
三、影响范围:
WPJobBoard <5.11.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpjobboard.net/
4 PCMan FTP Server缓冲区溢出漏洞(CVE-2025-3727)
一、漏洞描述:
PCMan FTP Server是由PCMan开发的一款开源的轻量级FTP服务器软件。
PCMan FTP Server在2.0.7版本中存在缓冲区溢出漏洞。该漏洞与STATUS Command Handler组件有关,由于未对输入数据进行适当的边界检查,攻击者可以通过精心构造的恶意输入数据,导致缓冲区溢出。
二、风险等级:
高
三、影响范围:
PCMan FTP Server2.0.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https:/pcman.ptt.cc/downloads.html
页:
[1]