免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Windows 服务器更新服务 (WSUS) 远程代码执行漏洞(CVE-2025-59287)
一、漏洞描述:
Microsoft Windows Server Update Services(WSUS)是一款由微软开发的服务器管理工具,用于集中管理和分发Windows操作系统及其他微软产品的更新。
Microsoft Windows Server Update Services(WSUS)的远程代码执行漏洞,源于不安全的反序列化过程。该漏洞发生在WSUS处理AuthorizationCookie时,使用.NET的BinaryFormatter对加密的Cookie数据进行反序列化,但未对类型进行严格验证。攻击者可以构造恶意加密数据,通过GetCookie()接口发送,导致系统执行任意代码,并以SYSTEM权限运行。
二、风险等级:
高
三、影响范围:
2025: 2025 SC / 2025
2022: 2022 SC / 2022 / 2022 23H2 SC
2019: 2019 SC / 2019
2016: 2016 SC / 2016
2012 R2: 2012 R2 SC / 2012 R2
2012: 2012 SC / 2012
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... ity/CVE-2025-59287/
2 赛飞OA管理系统存在通用型任意文件下载漏洞(CNVD-2015-06128)
一、漏洞描述:
赛飞OA管理系统是一款由ASP.NET开发的办公系统,且客户涉及医药、金融、学校、行政等多家单位。
赛飞OA管理系统存在通用型任意文件下载漏洞,攻击者可以利用漏洞下载任意目录下的任意文件。
二、风险等级:
高
三、影响范围:
深圳赛飞软件有限公司 OA系统
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.isoffice.cn
3 Oracle Solaris资源管理错误漏洞(CVE-2025-53070)
一、漏洞描述:
Oracle Solaris是Oracle开发的类Unix操作系统。
Oracle Solaris 11版本存在文件系统组件漏洞,该漏洞源于系统权限验证机制存在缺陷。攻击者可利用该漏洞通过本地权限提升导致系统完全拒绝服务(持续崩溃或挂起),并可能影响其他关联产品。
二、风险等级:
高
三、影响范围:
Oracle Oracle Solaris 11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuoct2025.html
4 D-Link Nuclias Connect目录遍历漏洞(CVE-2025-34248)
一、漏洞描述:
D-Link Nuclias Connect是一款由D-Link推出的网络管理软件,主要用于集中式管理无线接入点(AP),支持多设备远程控制和报告功能。
D-Link Nuclias Connect存在目录遍历漏洞,该漏洞源于/api/web/dnc/global/database/deleteBackup对deleteBackupList参数清理不当,攻击者可利用该漏洞影响系统完整性和可用性。
二、风险等级:
高
三、影响范围:
D-Link Nuclias Connect V1.3.1.4之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dlink.com/en
|
发表于 2025-10-27 09:55
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡