漏洞风险提示(20251117)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 FoxCMS跨站脚本漏洞(CVE-2025-12920)
一、漏洞描述:
FoxCMS是中国黔狐(FoxCMS)公司的一套可免费商用开源的内容管理系统。
FoxCMS 1.2.16及之前版本存在跨站脚本漏洞,该漏洞源于文件app/admin/controller/Product.php中参数Title对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞可以通过注入精心设计的有效载荷执行任意Web脚本或HTML。
二、风险等级:
高
三、影响范围:
FoxCMS FoxCMS ≤1.2.16
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/21151213732/CVE/blob/main/FoxCMS-XSS2.md
2 Calibre输入验证错误漏洞(CVE-2025-64486)
一、漏洞描述:
Calibre是一个开源免费的全能电子书阅读管理与格式转换工具。
Calibre 8.13.0及之前版本存在输入验证错误漏洞,该漏洞源于处理FB2文件中的二进制资源时未验证文件名,攻击者可利用该漏洞导致任意文件写入和代码执行。
二、风险等级:
高
三、影响范围:
Calibre Calibre ≤8.13.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/kovidgoyal/calibre/releases
3 QNAP Qsync Central SQL注入漏洞(CVE-2025-53595)
一、漏洞描述:
QNAP Qsync Central是威联通(QNAP)推出的私有云同步服务。
QNAP Qsync Central存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。
二、风险等级:
高
三、影响范围:
QNAP QNAP Qsync Central 5.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qnap.com/en/security-advisory/qsa-25-35
4 Tenda AC8 DatabaseIniSet文件缓冲区溢出漏洞(CVE-2025-12618)
一、漏洞描述:
Tenda AC8是腾达(Tenda)推出的一款双频千兆无线路由器,专为家庭和小型办公环境设计。
Tenda AC8存在缓冲区溢出漏洞,该漏洞源于对/goform/DatabaseIniSet文件中Time参数进行操纵时未正确验证输入长度。攻击者可利用该漏洞导致执行任意代码或系统崩溃
二、风险等级:
高
三、影响范围:
Tenda AC8 16.03.34.06
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tenda.com.cn/
页:
[1]