免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Code-projects Online Exam Mastering System跨站脚本漏洞(CVE-2025-46173)
一、漏洞描述:
在by code-projects中发现的存储跨站点脚本漏洞。该漏洞存在于未正确清理name字段中的用户输入的组件中,从而允许恶意行为者注入任意JavaScript。当管理员在管理员控制面板中查看此反馈时,有效负载将在管理员的浏览器中执行,从而导致会话劫持和潜在的权限提升。
二、风险等级:
高
三、影响范围:
Online Exam Mastering System = 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://code-projects.org/
2 Apache Commons BeanUtils 远程代码执行漏洞(CVE-2025-48734)
一、漏洞描述:
攻击者通过所有Java“枚举”对象均具备的“declaredClass”属性来访问枚举的类加载器。一旦攻击者获取了对枚举“declaredClass”的访问权限,便能够进一步访问类加载器,进而执行任意代码。
二、风险等级:
高
三、影响范围:
2.0.0-M1 <= Apache Commons BeanUtils 2.x <= 2.0.0-M2
1.0 <= Apache Commons BeanUtils 1.x <= 1.11.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/commons-beanutils
3 ZTE GoldenDB权限提升漏洞(CVE-2025-26704)
一、漏洞描述:
ZTE GoldenDB是中国中兴通讯(ZTE)公司的一款金融级交易型分布式数据库。用于金融、政企、电信等行业,提供高可用数据服务。
ZTE GoldenDB存在权限提升漏洞,该漏洞源于权限管理不当,攻击者可利用该漏洞篡改删除属于其他用户的任务的请求。
二、风险等级:
高
三、影响范围:
ZTE ZXCLOUD GoldenDB >=6.1.03,<=6.1.03.05
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.zte.com.cn/zte-i ... 6999218053484646494
4 D-Link DI-8100命令注入漏洞(CVE-2025-44084)
一、漏洞描述:
D-Link DI-8100是D-Link公司专为中小型网络环境设计的宽带路由器。
D-Link DI-8100存在命令注入漏洞。该漏洞源于逻辑代码对输入过滤不严格,攻击者可利用该漏洞获得对固件系统的最高权限shell访问,远程执行任意代码。
二、风险等级:
高
三、影响范围:
D-Link D-Link DI-8100 16.07.26A1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.dlink.com.cn/
|
发表于 2025-5-30 09:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡