免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Versa Concerto漏洞(CVE-2025-34027)
一、漏洞描述:
Versa Concerto SD-WAN编排平台容易受到Traefik反向代理配置中的身份验证绕过攻击,从而允许攻击者访问管理端点。Spack上传终端节点可用于检查时间到使用时间(TOCTOU)写入,并结合争用条件,通过路径加载作实现远程代码执行,从而允许未经身份验证的行为者实现远程代码执行(RCE)。已知此问题会影响12.1.2到12.2.0的Concerto。其他版本可能容易受到攻击。
二、风险等级:
高
三、影响范围:
12.1.2 <= Versa Concerto SD-WAN <= 12.2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://academy.versa-networks.com/courses/versa-concerto-sd-wan/
2 新华三技术有限公司H3C M60存在未授权访问漏洞(CNVD-2025-10249)
一、漏洞描述:
H3C M60是新华三推出的新一代企业级高性能无线AP管理器。
新华三技术有限公司H3C M60存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。
二、风险等级:
高
三、影响范围:
新华三技术有限公司 H3C M60
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.h3c.com/
3 郑州简信软件科技有限公司简信CRM存在SQL注入漏洞(CNVD-2025-10241)
一、漏洞描述:
郑州简信软件科技有限公司是中国专业的企业管理平台和生态式企业服务提供商,专注于企业级管理软件(CRM/HRM/OA/ERP等)的营销、咨询、研究、实施、培训、服务,致力于为全球企业提供一站式数字化服务解决方案。
郑州简信软件科技有限公司简信CRM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高
三、影响范围:
郑州简信软件科技有限公司 简信CRM
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.crm.cc/
4 RT-Labs P-Net存在未明漏洞(CVE-2025-32404)
一、漏洞描述:
RT-Labs P-Net是RT-Labs公司的一个开源PROFINET协议栈,实现工业设备与PROFINET控制器的标准通信。
RT-Labs P-Net 1.0.1及之前版本存在安全漏洞,攻击者可利用该漏洞导致IO设备内存破坏。
二、风险等级:
高
三、影响范围:
RT-Labs P-Net <=1.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://rt-labs.com/product/p-net/
|
发表于 2025-5-26 09:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡