漏洞风险提示（20251119）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 深信服运维安全管理系统远程命令执行漏洞（CVE-2025-12916）
一、漏洞描述：
        
        深信服运维安全管理系统(堡垒机OSM)，侧重于运维安全管理，是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的新一代运维安全审计产品。
        该漏洞源于 portal_login、/protocol/session 等接口对请求参数校验不严，存在命令注入漏洞。未经身份验证的攻击者可利用此漏洞执行任意系统命令，最终获取服务器控制权限。
二、风险等级：
        高
三、影响范围：
        深信服运维安全管理系统（OSM）V3.0.12 20241106之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sangfor.com.cn/sec_c ... e1eb7389809936a13fc

---

2 Google Chrome V8 类型混淆漏洞（CVE-2025-13223）
一、漏洞描述：
        
        Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。
        该漏洞源于V8引擎对 JavaScript 对象类型的错误处理，远程攻击者可通过诱导用户打开恶意链接来利用此漏洞，可导致类型混淆实现远程代码执行，进而完全控制用户设备。
二、风险等级：
        高
三、影响范围：
        Google Chrome(Windows/Mac) V142.0.7444.175/.176之前版本
        Google Chrome(Linux) V142.0.7444.175之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.google.cn/chrome/

---

3 Dell CloudLink命令执行漏洞（CVE-2025-46364）
一、漏洞描述：
        
        Dell CloudLink是美国戴尔（Dell）公司的一个数据加密和密钥管理系统。
        Dell CloudLink存在命令执行漏洞，攻击者可利用该漏洞在系统上执行任意命令。
二、风险等级：
        高
三、影响范围：
        DELL CloudLink V8.1.1之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dell.com/support/kbd ... ity-vulnerabilities

---

4 Intel CIP访问控制不当漏洞（CVE-2025-24314）
一、漏洞描述：
        
        Intel CIP是英特尔推出的一项可选计划，旨在通过收集用户计算机的性能数据来改进产品。
        Intel CIP存在访问控制不当漏洞，攻击者可利用该漏洞导致信息泄露。"
二、风险等级：
        高
三、影响范围：
        Intel Intel CIP WIN_DCA_2.4.0.11001之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.intel.com/content/ww ... .html?product=43559

---