漏洞风险提示（20250306)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome类型混淆漏洞（CVE-2025-0291）
一、漏洞描述：
        
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome的V8组件存在类型混淆漏洞，远程攻击者 可利用该漏洞通过特制的HTML页面执行任意代码。
二、风险等级：
        高
三、影响范围：
        Google Chrome < 131.0.6778.264
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html

---

2 WeGIA SQL注入漏洞（CVE-2025-22141）
一、漏洞描述：
        
        WeGIA是Nilson Lazarin个人开发者的一个福利机构的网络管理器。WeGIA 3.2.8之前版本的/dao/verificar_recursos_cargo.php端点的cargo参数存在SQL注入漏洞，攻击者可利用该漏洞执行任意SQL命令并破坏数据库的机密性、完整性、可用性。
二、风险等级：
        高
三、影响范围：
        WeGIA WeGIA < 3.2.8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/LabRedesCefet ... GHSA-w7hp-2w2c-p636

---

3 Carbon远程文件包含漏洞（CVE-2025-22145）
一、漏洞描述：
        
        Carbon是Carbon开源的一个DateTime的PHP扩展。Carbon 3.8.4之前版本和2.72.6之前版本存在远程文件包含漏洞，该 漏洞源于程序发送到Carbon::setLocale的用户输入可能包含不安全的文件，攻击者可利用该漏洞在文件夹中上传.php文件，进而可能在 服务器上运行文件中包含的代码。
二、风险等级：
        高
三、影响范围：
        Carbon Carbon < 3.8.4
        Carbon Carbon < 2.72.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/CarbonPHP/car ... GHSA-j3f9-p6hm-5w6q

---

4 Ivanti多款产品堆栈缓冲区溢出漏洞（CVE-2025-0283）
一、漏洞描述：
        
        Ivanti Connect Secure（ICS）等都是美国Ivanti公司的产品，Connect Secure是一款安全远程网络连接工具，Policy Secure（IPS）是一个网络访问控制解决方案，Neurons是一款开创性的平台，能简化和自动化IT系统。Ivanti Connect Secure 22.7R2.5之前版本、Policy Secure 22.7R1.2之前版本、Neurons for ZTA gateways 22.7R2.3之前版本存在堆栈缓冲区溢出漏洞，经过身份认证的攻击者可利用该漏洞提升权限。
二、风险等级：
        高
三、影响范围：
        Ivanti Connect Secure < 22.7R2.5
        Ivanti Policy Secure < 22.7R1.2
        Ivanti Neurons for ZTA gateways < 22.7R2.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/s/arti ... -0282-CVE-2025-0283

---