漏洞风险提示（20250513）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Dell Storage Center - Dell Storage Manager XML外部实体注入漏洞（CVE-2025-22478）
一、漏洞描述：
       
        Dell Storage Manager是一款用于管理和监控戴尔存储系统的软件，提供集中管理、性能监控和故障排除等功能，支持多种戴尔存储产品。
        Dell Storage Center - Dell Storage Manager在20.1.20版本中存在XML外部实体注入漏洞。该漏洞是由于Dell Storage Manager在处理XML数据时，未能正确限制外部实体引用，允许攻击者通过恶意构造的XML数据来注入恶意代码。攻击者可以利用此漏洞在目标系统上执行任意代码，获取敏感信息或篡改数据。
二、风险等级：
        高
三、影响范围：
        Dell Storage Manager 20.1.20
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        www.dell.com/support/kbdoc/en-us ... er- vulnerabilities

---

2 Huawei HarmonyOS数组越界读写漏洞（CVE-2025-46585）
一、漏洞描述：
       
        HarmonyOS是一款面向未来、面向全场景的分布式操作系统。
        Huawei HarmonyOS在5.0.0版本中存在数组越界读写漏洞。该漏洞形成的原因是内核模块在处理某些数据时，未能正确检查数组边界，导致攻击者可以对数组进行越界读写操作。攻击者可利用该漏洞对目标有针对性的发起攻击，危害站点系统安全。
二、风险等级：
        高
三、影响范围：
        HarmonyOS 5.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://consumer.huawei.com/en/support/bulletin/2025/5/

---

3 OpenCTI命令注入漏洞（CVE-2025-24977）
一、漏洞描述：
       
        OpenCTI是一个开源的网络威胁情报平台，旨在帮助组织管理和分析网络威胁情报数据。
        OpenCTI在6.4.11之前版本中存在命令注入漏洞。该漏洞是由于任何具有“管理自定义”权限的用户都可以通过滥用 Web-Hook 功能，在托管OpenCTI的底层基础设施上执行命令，并访问服务器内部的敏感信息。攻击者可以在容器内获得 root 权限，从而进一步攻击和暴露基础设施。
二、风险等级：
        高
三、影响范围：
        OpenCTI <6.4.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/OpenCTl-Platf ... GHSA-mf88-g2wg-p7qm

---

4 PCMan FTP Server缓冲区溢出漏洞（CVE-2025-4290）
一、漏洞描述：
       
        PCMan FTP Server是由PCMan开发的一款开源的轻量级FTP服务器软件。
        PCMan FTP Server 2.0.7 版本中存在缓冲区溢出漏洞。该漏洞是由于受影响版本的SMNT Command Handler组件对用户输入数据缺乏有效校验。攻击者无需任何用户交互或特权可构造恶意输入触发缓冲区溢出，进而实现远程代码执行。
二、风险等级：
        高
三、影响范围：
        FTP Server 2.0.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://fitoxs.com/exploit/explo ... d7d09296bcd395b.txt

---