免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 GitHub Enterprise Server中Pre-Receive Hook 远程代码执行漏洞(CVE-2025-3509)
一、漏洞描述:
在GitHub Enterprise Server中发现了一个远程代码执行漏洞,该漏洞允许攻击者通过利用预接收钩子功能来执行任意代码,从而可能导致权限提升和系统危害。
二、风险等级:
高
三、影响范围:
3.13.0<=enterprise_server<=3.13.13
3.15.0<=enterprise_server<=3.15.5
3.16.0<=enterprise_server<=3.16.1
3.14.0<=enterprise_server<=3.14.10
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.github.com/en/enter ... admin/release-notes
2 TP-Link Tl-wr841n Firmware跨站脚本漏洞(CVE-2025-25427)
一、漏洞描述:
存储的跨站点脚本 (XSS)TP-Link WR841N <=4.19中Web界面的upnp页面中的漏洞,该漏洞允许远程攻击者通过端口映射描述信息注入任意JavaScript代码。这导致加载upnp页面时执行JavaScript负载。
二、风险等级:
高
三、影响范围:
wr841n <= 4.19
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/slin99/2025-25427
3 领星ERP系统文件上传漏洞(CVE-2025-3552)
一、漏洞描述:
领星ERP是一款专业的跨境电商ERP管理系统,主要面向亚马逊等电商平台的卖家,提供一站式的数据化运营解决方案。
领星ERP 2版本中存在文件上传漏洞。该漏洞与/Api/TinyMce/UploadAjax.ashx有关,是由于在处理文件上传时,未对上传的文件类型和大小进行严格限制,导致攻击者可以上传任意类型的文件。
二、风险等级:
高
三、影响范围:
领星ERP 2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.lingxing.com/
4 DevDojo Voyager命令注入漏洞(CVE-2025-32931)
一、漏洞描述:
DevDojo Voyager是一个基于Laravel的后台管理扩展包,旨在为Laravel应用程序提供一个功能强大的后台管理界面。
DevDojo Voyager在1.4.0至1.8.0版本中存在命令注入漏洞。该漏洞是由于DevDojo Voyager在处理特定的php artisan命令时,未能正确验证输入参数,导致攻击者可以注入恶意的系统命令。
二、风险等级:
高
三、影响范围:
1.4.0<= Voyager <= 1.8.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/thedevdojo/voyager
|
发表于 2025-4-21 09:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡