漏洞风险提示（20250224)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM OpenPages with Watson 代码问题漏洞（CVE-2024-49781）
一、漏洞描述：
        
        BM OpenPages with Watson是美国国际商业机器（IBM）公司的一个AI驱动的金融风险分析解决方案。该平台基于AI技 术来预测风险系数，将风险数据通过集成、自动识别、测量、监控、分析、管理等步骤将金融活动中的风险最小化。IBM OpenPages with Watson 8.3版本和9.0版本存在代码问题漏洞，该漏洞源于容易受到 XML 外部实体注入 (XXE) 攻击，导致敏感信息泄露或消耗内存资源。
二、风险等级：
        高
三、影响范围：
        openpages_with_watson = 9.0
        openpages_with_watson = 8.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7183541

---

2 YesWiki跨站脚本漏洞（CVE-2025-24018）
一、漏洞描述：
        
        YesWiki是法国YesWiki组织的一个用PHP编写的wiki系统。用于以协作方式创建和管理网站。 YesWiki 4.4.5及之前版 本存在跨站脚本漏洞，该漏洞源于attach组件处理不存在的文件名时输入验证不当，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
二、风险等级：
        高
三、影响范围：
        yeswiki <= 4.4.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/YesWiki/yeswi ... GHSA-w59h-3x3q-3p6j

---

3 Mozilla多个产品越界写入漏洞(CVE-2025-1020)
一、漏洞描述：
        
        Mozilla Firefox是一款开源的WEB浏览器。 Mozilla Firefox存在内存破坏漏洞，远程攻击者可利用该漏洞提交特殊的Web请求，诱使用户解析，可以应用程序上下文执行任意代码。
二、风险等级：
        高
三、影响范围：
        Firefox < 135
        Thunderbird < 135
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/

---

4 Google Chrome DevTools内存错误引用漏洞（CVE-2025-0762）
一、漏洞描述：
        
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome DevTools存在内存错误引用漏洞，攻击 者可利用该漏洞执行任意代码。
二、风险等级：
        高
三、影响范围：
        Chromium < 132.0.2957.140
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... for-desktop_28.html

---