漏洞风险提示（20250506）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Yeswiki 远程代码执行漏洞（CVE-2025-46347）
一、漏洞描述：
       
        YesWiki是一款开源的维基系统，基于PHP和MySQL开发，旨在帮助用户以协作的方式创建和管理网站。
        攻击者可以通过任意文件写入操作写入一个带有PHP扩展名的文件，然后通过访问该文件在服务器上执行任意代码，从而导致服务器被完全攻陷。
二、风险等级：
        高
三、影响范围：
        Yeswiki < 4.5.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/YesWiki/yeswi ... baa3cbac6b5ac1cc066

---

2 用友网络科技股份有限公司用友BIP存在SQL注入漏洞（CNVD-2025-08697）
一、漏洞描述：
       
        用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。
        用友网络科技股份有限公司用友BIP存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级：
        高
三、影响范围：
        用友网络科技股份有限公司 用友BIP
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.yonyou.com/#/noticeInfo?id=688

---

3 熵基科技股份有限公司ZKTime考勤管理系统存在逻辑缺陷漏洞（CNVD-2025-08500）
一、漏洞描述：
       
        熵基科技股份有限公司是一家基于“人、车、物”出入口时间和安全管理系统产品及解决方案的全球提供商。
        熵基科技股份有限公司ZKTime考勤管理系统存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。
二、风险等级：
        高
三、影响范围：
        熵基科技股份有限公司 ZKTime考勤管理系统
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zkteco.com

---

4 Siemens TeleControl Server Basic SQL注入漏洞（CVE-2025-32840）
一、漏洞描述：
       
        Siemens TeleControl Server Basic是德国西门子（Siemens）公司的一个工业远程控制器。
        Siemens TeleControl Server Basic存在SQL注入漏洞，该漏洞源于内部方法LockGateway存在SQL注入，攻击者可利用该漏洞导致绕过授权控制和执行任意代码。
二、风险等级：
        高
三、影响范围：
        Siemens TeleControl Server Basic <V3.1.2.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://cert-portal.siemens.com/productcert/html/ssa-443402.html

---