漏洞风险提示（20250428）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 中兴通讯GoldenDB数据库产品存在代码相关漏洞（CVE-2025-46580）
一、漏洞描述：
       
        GoldenDB数据库产品中存在一个与代码相关的漏洞。攻击者可以访问系统表，从而破坏业务SQL的正常运行。
二、风险等级：
        高
三、影响范围：
        6.1.03<=GoldenDB<=6.1.03.10
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zte.com.cn/global/about/trust-center/ztepsirt.html

---

2 D-Link DIR-816 A2V1.1.0B05命令注入漏洞（CVE-2025-29743）
一、漏洞描述：
       
        D-Link DIR-816是一款由友讯网络（D-Link）推出的家用及小型办公室（SOHO）无线路由器。
        D-Link DIR-816在A2V1.1.0B05版本中存在命令注入漏洞。该漏洞存在于受影响产品版本的/goform/delRouting路径中。攻击者可以通过网络远程利用该漏洞进行命令攻击，危害目标系统安全。
二、风险等级：
        高
三、影响范围：
        D-Link DIR-816 A2V1.1.0B05
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/n0wstr/IOTVul ... elRouting/readme.md

---

3 Ocean Extra plugin for WordPress任意代码执行漏洞（CVE-2025-3472）
一、漏洞描述：
       
        Ocean Extra是一款为WordPress网站设计的免费插件，旨在为OceanWP主题提供额外的功能和灵活性，帮助用户更高效地构建专业级网站。
        Ocean Extra plugin for WordPress在2.4.6及之前版本中存在任意代码执行漏洞。该漏洞是由于在受影响版本允许用户执行的操作在运行do_shortcode之前未正确验证值，这使得未经身份验证的攻击者能够在同时安装并激活了WooCommerce的情况下执行任意代码。攻击者成功利用该漏洞可能导致泄露敏感信息、篡改网站内容或执行其他恶意操作等。
二、风险等级：
        高
三、影响范围：
        Ocean Extra plugin for WordPress <=2.4.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://plugins.trac.wordpress.o ... shortcodes.php#L618

---

4 SAP NetWeaver Visual Composer Metadata Uploader文件上传漏洞（CVE-2025-31324）
一、漏洞描述：
       
        SAP NetWeaver Visual Composer Metadata Uploader是SAP NetWeaver平台中的一个组件，用于上传和管理元数据文件。
        SAP NetWeaver Visual Composer Metadata Uploader存在文件上传漏洞。该漏洞是由于受影响组件未进行适当的授权检查，允许未经身份验证的代理上传潜在的恶意可执行二进制文件。攻击者可以利用该漏洞上传并执行恶意代码，从而完全控制受影响的系统，进而影响系统的保密性、完整性和可用性。
二、风险等级：
        高
三、影响范围：
        SAP NetWeaver Visual Composer Metadata Uploader
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https:/me.sap.com/notes/3594142

---