漏洞风险提示（20250930）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress插件Academy LMS存在未明漏洞（CVE-2025-59562）
一、漏洞描述：
        
        WordPress是一套使用PHP语言开发的博客平台。WordPress plugin是一个应用插件。
        WordPress插件Academy LMS存在安全漏洞，攻击者可利用该漏洞利用错误配置的访问控制安全级别。
二、风险等级：
        高
三、影响范围：
        WordPress Academy LMS plugin ≤V3.3.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/academy/

---

2 Cisco IOS 和IOS XE SNMP 远程代码执行漏洞(CVE-2025-20352)
一、漏洞描述：
        
        Cisco IOS（Internetwork Operating System）是思科公司为其路由器和交换机设备开发的操作系统，广泛应用于企业和服务提供商的网络设备中。IOS XE是IOS的升级版本，基于Linux内核，具备更高的可扩展性、灵活性和更强的网络虚拟化能力。
        攻击者可以通过精心构造的SNMP数据包，利用该漏洞在受影响设备上发起远程攻击，导致拒绝服务（DoS）或远程代码执行（RCE）。对于低权限的认证远程攻击者，若拥有有效的SNMPv2c只读社区字符串或SNMPv3用户凭证，可能导致设备重启，从而触发DoS；对于高权限的攻击者，若拥有SNMPv1/v2c只读社区字符串或SNMPv3凭证，并且具备管理员或特权15凭证，则可能以root身份执行任意代码，完全控制受影响设备。
二、风险等级：
        高
三、影响范围：
        所有启用了SNMP并未显式排除受影响OID的设备，包括但不限于运行Cisco IOS和IOS XE软件的路由器和交换机。
        以及运行Meraki CS 17及更早版本的Meraki MS390系列交换机和Cisco Catalyst 9300系列交换机。
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://sec.cloudapps.cisco.com/ ... co-sa-snmp-x4LPhte/

---

3 SolarWinds Web Help Desk 反序列化RCE漏洞(CVE-2025-26399)
一、漏洞描述：
        
        SolarWinds Web Help Desk 是一款基于Web的IT服务管理与工单系统，广泛应用于企业与机构的IT支持场景。
        攻击者可在无需认证下提交恶意序列化数据，触发反序列化并执行任意命令，导致主机被控制。该漏洞绕过了先前的漏洞补丁。
二、风险等级：
        高
三、影响范围：
        SolarWinds Web Help Desk ≤ V12.8.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://documentation.solarwinds ... _release_notes.htm/

---

4 FileBrowser跨站脚本漏洞（CVE-2025-52902）
一、漏洞描述：
        
        FileBrowser是开源的一款网页文件浏览器。提供指定目录下的文件管理界面，可用于上传、删除、预览、重命名和编辑您的文件。
        FileBrowser存在跨站脚本漏洞，该漏洞是由于Markdown预览功能对用户输入的验证不当造成的。攻击者利用该漏洞执行JavaScript代码。
二、风险等级：
        高
三、影响范围：
        filebrowser filebrowser <2.33.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/filebrowser/filebrowser/releases

---