漏洞风险提示（20250219)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Subversion输出编码或转义错误漏洞（CVE-2024-46901）
一、漏洞描述：
        
        Apache Subversion是美国阿帕奇（Apache）基金会的一套开源的版本控制系统，该系统可兼容并发版本系统(CVS)。Apache Subversion 1.14.4及之前版本存在输出编码或转义错误漏洞，该漏洞源于文件名与控制字符的验证不足，攻击者可利用该漏洞导致存储库用户的使用中断。
二、风险等级：
        高
三、影响范围：
        Apache Subversion <= 1.14.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://subversion.apache.org/se ... -46901-advisory.txt

---

2 百易云资产管理系统SQL注入漏洞 (CVE-2025-1464)
一、漏洞描述：
        
        Cloud Asset Management System 20250204
二、风险等级：
        高
三、影响范围：
        百易云资产管理系统中 /wuser/admin.house.collect.php 接口存在 SQL 注入漏洞。攻击者可以通过构造恶意请求参 数（ project_id ）执行基于时间的盲 SQL 注入，绕过安全机制，直接操作数据库以访问敏感信息（如数据库名、表数据等）。此漏洞 影响多个资产实例，且无需认证即可触发。
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.baiyishequ.com/web/service-support.html

---

3 Google Chrome浏览器缓冲区溢出漏洞(CVE-2025-0999)
一、漏洞描述：
        
        Chrome 浏览器 JavaScript 引擎 V8 中存在一个严重的堆缓冲区溢出漏洞，攻击者可以利用该漏洞执行任意代码并获 取用户系统权限导致失陷。
二、风险等级：
        高
三、影响范围：
        Google Chrome < 133.0.6943.126
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.google.cn/intl/zh-CN/chrome/

---

4 IBM Cognos Controller 和 IBM Controller 中的未限制反序列化漏洞（CVE-2024-28777）
一、漏洞描述：
        
        IBM Cognos 控制器版本 11.0.0 至 11.0.1 FP3 和 IBM 控制器 11.1.0 存在漏洞，允许无限制的反序列化。此漏洞可被利用执行任意代码、提升权限或发起拒绝服务攻击，对受影响系统构成重大安全风险。
二、风险等级：
        高
三、影响范围：
        Cognos Controller 11.0.0 <= 11.0.1
        Controller 11.1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/page ... d-vulnerabilities-0

---