免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Chaos-Mesh命令注入漏洞(CVE-2025-59361)
一、漏洞描述:
Chaos Mesh 是由 PingCAP 开源的云原生混沌工程平台。该平台专门为 Kubernetes 环境设计,支持模拟各种故障场景,包括网络延迟、Pod 故障、存储异常等。
Chaos-Mesh 存在命令注入漏洞,漏洞位于 Chaos Controller Manager GraphQL 服务器中,该服务位于 10082 端口且无需经过身份认证。未经过身份认证的攻击者可通过构造恶意GraphQL 查询请求在Chaos Daemon中执行任意系统命令,由于Chaos Daemon 的设计使其能够在集群中的任何其他 Pod 上执行任意命令,最终攻击者可能进一步完全接管整个集群。
二、风险等级:
高
三、影响范围:
Chaos-Mesh V2.7.3之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/chaos-mesh/chaos-mesh
2 用友U8Cloud IPFxxFileService 文件上传漏洞(QVD-2025-36405)
一、漏洞描述:
用友 U8Cloud 是用友网络科技股份有限公司推出的新一代云ERP解决方案,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。
用友U8Cloud IPFxxFileService 文件上传漏洞源于文件上传功能未对上传内容进行严格校验,攻击者可实现任意文件上传并获取服务器权限。
二、风险等级:
高
三、影响范围:
V2.x系列:V2.0、V2.1、V2.3、V2.5、V2.6、V2.65、V2.7
V3.x系列:V3.0、V3.1、V3.2、V3.5、V3.6、V3.6sp
V5.x系列:V5.0、V5.0sp、V5.1、V5.1sp
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.yonyou.com/#/pa ... 8d5a3cf36bcda869690
3 Google Chrome V8 类型混淆漏洞(CVE-2025-10585)
一、漏洞描述:
Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。
Google Chrome V8 类型混淆漏洞(CVE-2025-10585)存在在野利用,该漏洞源于V8引擎对 JavaScript 对象类型的错误处理,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,可导致类型混淆实现远程代码执行,进而完全控制用户设备。
二、风险等级:
高
三、影响范围:
Google Chrome(Windows/Mac)V140.0.7339.185/.186之前版本
Google Chrome(Linux) V140.0.7339.185之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
4 WatchGuard Firebox 越界写入漏洞(CVE-2025-9242 )
一、漏洞描述:
WatchGuard Firebox 是由 WatchGuard Technologies 公司开发的一系列网络安全设备,专为企业和组织提供全面的网络防护解决方案。
WatchGuard Fireware OS 中有一个越界写入漏洞,未经身份验证的远程攻击者可以利用该漏洞执行任意代码。当配置了动态网关对等体时,此漏洞会影响使用 IKEv2 的移动用户 VPN 和使用 IKEv2 的分支机构 VPN。
二、风险等级:
高
三、影响范围:
Fireware OS = V2025.1
12.0≤ Fireware OS≤12.11.3
11.10.2≤ Fireware OS≤11.12.4_Update1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.watchguard.com/wgrd-products/firewalls
|
发表于 2025-9-22 09:47
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡