漏洞风险提示（20250919）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Fory 拒绝服务漏洞（CVE-2025-59328）
一、漏洞描述：
       
        Apache Fory 是一个基于 JIT（即时编译）和零拷贝技术的多语言序列化框架，专为分布式系统和高性能计算场景设计。
        攻击者可以提供特制的大型数据有效负载，在处理该负载时，在反序列化过程中会消耗过多的 CPU 资源。这会导致 CPU 耗尽，使使用 Apache Fory 库的应用程序或系统无响应且无法对合法用户使用。
二、风险等级：
        高
三、影响范围：
        V0.5.0≤Fory版本≤V0.12.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://fory.apache.org

---

2 Lingdang CRM SQL注入漏洞（CVE-2025-9140）
一、漏洞描述：
        
        Lingdang CRM（灵当CRM）是中国灵当（Lingdang）公司的一个客户关系管理系统。
        Lingdang CRM存在SQL注入漏洞，该漏洞源于/crm/crmapi/erp/tabdetail_moduleSave.php文件getvaluestring参数操作不当，攻击者可利用该漏洞导致SQL注入。
二、风险等级：
        高
三、影响范围：
        Shanghai Lingdang Information Technology Lingdang CRM ≤V8.6.4.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.notion.so/SQL2-2459b ... 7d?source=copy_link

---

3 soosyze暴力登录漏洞（CVE-2025-52392）
一、漏洞描述：
        
        soosyze是Soosyze开源的一个内容管理系统。
        soosyze 存在暴力破解漏洞，该漏洞源于/user/login端点缺少速率限制和锁定机制，攻击者可利用该漏洞导致暴力破解攻击。
二、风险等级：
        高
三、影响范围：
        soosyze V2.0.0版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://soosyze.com/

---

4 Langflow远程代码执行漏洞（CVE-2025-3248）
一、漏洞描述：
        
        Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。
        Langflow存在远程代码执行漏洞，攻击者可利用该漏洞发送精心编制的HTTP请求来执行任意代码。
二、风险等级：
        高
三、影响范围：
        langflow langflow V1.3.0之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/langflow-ai/langflow/releases/tag/1.3.0

---