漏洞风险提示（20250507）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Microsoft Azure AI Bot Service权限提升漏洞（CVE-2025-30392）
一、漏洞描述：
       
        Azure Bot Framework SDK中的不当授权允许未经授权的攻击者通过网络提升权限。 SDK 无法对某些管理终端节点实施基于角色的检查。精心设计的 API 调用允许低权限帐户继承更高范围的权限，从而实现以下作： 导出对话记录和机密 重新配置频道或注入恶意代码 启动、停止或删除生产机器人
二、风险等级：
        高
三、影响范围：
        Microsoft Azure AI Bot Service = 20250430
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-30392

---

2 腾达AC1206拒绝服务漏洞（CVE-2025-4298）
一、漏洞描述：
       
        在Tenda AC1206直到15.03.06.23中发现漏洞。它已被宣布为关键。该漏洞会影响文件/goform/setcfm的函数formSetCfm。该作会导致缓冲区溢出。攻击可以远程发起。
二、风险等级：
        高
三、影响范围：
        Tenda AC1206 <= 15.03.06.23
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/CH13hh/tmp_st ... etCfm/formSetCfm.md

---

3 WordPress插件abcsubmit代码注入漏洞（CVE-2025-2801）
一、漏洞描述：
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
        WordPress插件abcsubmit 1.2.4及之前版本存在代码注入漏洞，该漏洞源于未正确验证值，攻击者可利用此漏洞导致任意代码执行。
二、风险等级：
        高
三、影响范围：
        WordPress abcsubmit plugin <=1.2.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/abcsubmit

---

4 东软集团股份有限公司Neusoft NetEye Firewall Software存在弱口令漏洞（CNVD-2025-08493）
一、漏洞描述：
       
        Neusoft NetEye Firewall Software是一款集成了多项尖端安全技术的下一代防火墙产品。
        东软集团股份有限公司Neusoft NetEye Firewall Software存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。
二、风险等级：
        高
三、影响范围：
        东软集团股份有限公司 Neusoft NetEye Firewall Software 3.2.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.neusoft.com/

---