漏洞风险提示（20250312)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Tomcat远程代码执行漏洞（CVE-2025-24813）
一、漏洞描述：
        
        Apache Tomcat存在远程代码执行漏洞。该漏洞可能导致远程代码执行、信息泄露或数据篡改。攻击者在特定条件下（ 如默认Servlet写权限开启、启用部分PUT请求）可上传文件访问安全敏感内容或触发远程代码执行。
二、风险等级：
        高
三、影响范围：
        9.0.0.M1 ≤ version ≤ 9.0.98
        10.1.0-M1 ≤ version ≤ 10.1.34
        11.0.0-M1 ≤ version ≤ 11.0.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

---

2 Mozilla Firefox跨站脚本漏洞（CVE-2025-23108）
一、漏洞描述：
        
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 134之前版本存在跨站脚本漏洞，攻击者可利用该漏洞诱导用户通过长按客户端打开新标签中的Javascript链接，进而利用恶意脚本欺骗新选项卡的URL。
二、风险等级：
        高
三、影响范围：
        Mozilla Firefox for iOS < 134
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://bugzilla.mozilla.org/show_bug.cgi?id=1933172

---

3 Palo Alto Networks Expedition SQL注入漏洞（CVE-2025-0103）
一、漏洞描述：
        
        Palo Alto Networks Expedition是美国Palo Alto Networks公司的一种有助于配置迁移、调优和丰富的工具。Palo Alto Networks Expedition存在SQL注入漏洞，经过身份认证的攻击者可利用该漏洞泄露密码哈希、用户名、设备配置、设备API密钥等数据库内容。
二、风险等级：
        高
三、影响范围：
        Palo Alto Networks Expedition
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.paloaltonetworks.com/PAN-SA-2025-0001

---

4 Juniper Networks Junos OS SRX信息泄露漏洞（CVE-2025-21592）
一、漏洞描述：
        
        Juniper Networks Junos OS SRX是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操 作系统，提供了安全编程接口和Junos SDK。Juniper Networks Junos OS SRX的命令行界面存在信息泄露漏洞，攻击者可利用该漏洞查看文件系统上敏感文件的内容。
二、风险等级：
        高
三、影响范围：
        Juniper Networks Junos OS SRX
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://supportportal.juniper.net/JSA92860

---