漏洞风险提示(20250428)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 中兴通讯GoldenDB数据库产品存在代码相关漏洞(CVE-2025-46580)
一、漏洞描述:
GoldenDB数据库产品中存在一个与代码相关的漏洞。攻击者可以访问系统表,从而破坏业务SQL的正常运行。
二、风险等级:
高
三、影响范围:
6.1.03<=GoldenDB<=6.1.03.10
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zte.com.cn/global/about/trust-center/ztepsirt.html
2 D-Link DIR-816 A2V1.1.0B05命令注入漏洞(CVE-2025-29743)
一、漏洞描述:
D-Link DIR-816是一款由友讯网络(D-Link)推出的家用及小型办公室(SOHO)无线路由器。
D-Link DIR-816在A2V1.1.0B05版本中存在命令注入漏洞。该漏洞存在于受影响产品版本的/goform/delRouting路径中。攻击者可以通过网络远程利用该漏洞进行命令攻击,危害目标系统安全。
二、风险等级:
高
三、影响范围:
D-Link DIR-816 A2V1.1.0B05
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/n0wstr/IOTVuln/blob/main/DIR-816/DelRouting/readme.md
3 Ocean Extra plugin for WordPress任意代码执行漏洞(CVE-2025-3472)
一、漏洞描述:
Ocean Extra是一款为WordPress网站设计的免费插件,旨在为OceanWP主题提供额外的功能和灵活性,帮助用户更高效地构建专业级网站。
Ocean Extra plugin for WordPress在2.4.6及之前版本中存在任意代码执行漏洞。该漏洞是由于在受影响版本允许用户执行的操作在运行do_shortcode之前未正确验证值,这使得未经身份验证的攻击者能够在同时安装并激活了WooCommerce的情况下执行任意代码。攻击者成功利用该漏洞可能导致泄露敏感信息、篡改网站内容或执行其他恶意操作等。
二、风险等级:
高
三、影响范围:
Ocean Extra plugin for WordPress <=2.4.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://plugins.trac.wordpress.org/browser/ocean-extra/trunk/includes/shortcodes/shortcodes.php#L618
4 SAP NetWeaver Visual Composer Metadata Uploader文件上传漏洞(CVE-2025-31324)
一、漏洞描述:
SAP NetWeaver Visual Composer Metadata Uploader是SAP NetWeaver平台中的一个组件,用于上传和管理元数据文件。
SAP NetWeaver Visual Composer Metadata Uploader存在文件上传漏洞。该漏洞是由于受影响组件未进行适当的授权检查,允许未经身份验证的代理上传潜在的恶意可执行二进制文件。攻击者可以利用该漏洞上传并执行恶意代码,从而完全控制受影响的系统,进而影响系统的保密性、完整性和可用性。
二、风险等级:
高
三、影响范围:
SAP NetWeaver Visual Composer Metadata Uploader
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https:/me.sap.com/notes/3594142
页:
[1]