漏洞风险提示（20250205)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SQL Server Native Client 远程代码执行漏洞（CVE-2024-49009）
一、漏洞描述：
        
        Microsoft SQL Server是美国微软（Microsoft）公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。 Microsoft SQL Server Native Client存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        sql_server_2016
        sql_server_2017
        sql_server_2019
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2024-49009

---

2 IBM Analytics Content Hub 缓冲区错误漏洞（CVE-2024-39750）
一、漏洞描述：
        
        IBM Analytics Content Hub是美国国际商业机器（IBM）公司的一种干净的流式体验，通过从 IBM 和其他分析提供商 的提取内容来可视化相关分析内容。IBM Analytics Content Hub 2.0版本存在缓冲区错误漏洞，该漏洞源于返回长度检查不当。攻击者 利用该漏洞可以导致溢出缓冲区并在系统上执行任意代码或导致服务器崩溃。
二、风险等级：
        高
三、影响范围：
        ibm planning_analytics_cloud=2.0.0
        ibm planning_analytics=2.0
        ibm planning_analytics_local=2.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7172787

---

3 7-Zip 安全漏洞（CVE-2025-0411）
一、漏洞描述：
        
        此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。要利用此漏洞，需要用户交互，即目标必须访问恶意页面或打开恶意文件。该特定漏洞存在于存档文件的处理中。当从带有 Mark-of-the-Web 的精心设计的存档中提取文 件时，7-Zip 不会将 Mark-of-the-Web 传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。
二、风险等级：
        高
三、影响范围：
        7-Zip < 24.09
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://7-zip.org/download.html

---

4 Oracle MySQL Server 安全漏洞（CVE-2025-21521）
一、漏洞描述：
        
        Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。 Oracle MySQL的MySQL Server存在安全漏洞。攻击者可利用该漏洞导致MySQL Server挂起或频繁重复崩溃。
二、风险等级：
        高
三、影响范围：
        MySQL<=8.0.39
        MySQL<=8.4.2
        MySQL<=9.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.oracle.com/security-alerts/cpujan2025.html

---