漏洞风险提示（20250226)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Trix跨站脚本漏洞（CVE-2025-21610）
一、漏洞描述：
       
        Trix是Basecamp开源的一个适用于日常写作的丰富文本编辑器。
        Trix 2.1.12之前版本存在跨站脚本漏洞，攻击者可利用该漏洞通过链接字段发送恶意代码，诱导用户复制和粘贴该“javascript:”URL，在用户会话环境中执行任意JavaScript代码，进而导致敏感信息泄露。
二、风险等级：
        高
三、影响范围：
        Trix Trix < 2.1.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gist.github.com/th4s1s/3921fd9c3e324ad9a3e0d846166e3eb8

---

2 SiYuan任意文件删除漏洞（CVE-2025-21609）
一、漏洞描述：
       
        SiYuan是SiYuan开源的一个隐私至上的个人知识管理系统。
        SiYuan 3.1.18版本的POST /api/history/getDocHistoryContent端点存在任意文件删除漏洞，攻击者可利用该漏洞通过特制的载荷删除服务器上的任意文件。
二、风险等级：
        高
三、影响范围：
        SiYuan SiYuan 3.1.18
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/siyuan-note/s ... 299a9a4181dc42969f3

---

3 iTerm2信息泄露漏洞（CVE-2025-22275）
一、漏洞描述：
       
        iTerm2是George Nachman个人开发者的一款为Mac OS X编写的终端仿真程序。
        iTerm2 3.5.6至3.5.11之前版本的it2ssh和SSH集成配置存在信息泄露漏洞，远程攻击者可利用该漏洞通过读取/tmp/framer.txt文件获取终端命令相关的敏感信息。
二、风险等级：
        高
三、影响范围：
        iTerm2 iTerm2 >= 3.5.6 < 3.5.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitlab.com/gnachman/iter ... on-Information-Leak

---

4 Microsoft PC Manager权限提升漏洞（CVE-2025-21322）
一、漏洞描述：
       
        Microsoft PC Manager是来自微软官方的应用程序，提升电脑性能，轻松又舒适。
        Microsoft PC Manager存在权限提升漏洞，攻击者可利用该漏洞提升权限。
二、风险等级：
        高
三、影响范围：
        Microsoft PC Manager
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://portal.msrc.microsoft.co ... sory/CVE-2025-21322

---