漏洞风险提示（20250313)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache CloudStack信息泄露漏洞（CVE-2025-22828）
一、漏洞描述：
        
        Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台，主要用于部署和管理 大型虚拟机网络。Apache CloudStack 4.16.0及之后版本存在信息泄露漏洞，该漏洞源于程序未正确验证权限，具有资源UUID的访问权限的攻击者可利用该漏洞读取评论的内容活添加恶意评论，从而破坏CloudStack环境和资源的机密性。
二、风险等级：
        高
三、影响范围：
        Apache CloudStack >= 4.16.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.openwall.com/lists/oss-security/2025/01/13/1

---

2 Cisco IOS XR Software命令执行漏洞(CVE-2025-20138)
一、漏洞描述：
        
        思科 IOS XR 软件的 CLI 中存在一个漏洞，可能允许经过身份验证的本地攻击者以root身份在受影响设备的底层操作 系统上执行任意命令。该漏洞是由于对传递给特定 CLI 命令的用户参数验证不足所致。具有低权限账户的攻击者可以通过在提示符中使 用精心制作的命令来利用此漏洞。成功的利用可能允许攻击者提升权限到 root 并执行任意命令。
二、风险等级：
        高
三、影响范围：
        Cisco IOS XR 64
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://sec.cloudapps.cisco.com/ ... r-priv-esc-GFQjxvOF

---

3 Google Chromium越界读取漏洞（CVE-2025-1914）
一、漏洞描述：
        
        Google Chrome 134.0.6998.35 之前的版本中存在越界读取问题，允许远程攻击者通过精心制作的 HTML 页面执行越界内存访问。
二、风险等级：
        高
三、影响范围：
        Google Chrome < 134.0.6998.35
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.google.com/intl/zh-CN/chrome/update/

---

4 1E Client拒绝服务漏洞(CVE-2025-1683)
一、漏洞描述：
        
        在 1E 客户端的 Nomad 模块中，在版本 25.3 之前的文件访问之前的不当链接解析，允许具有 Windows 系统上本地非特权访问的攻击者通过滥用符号链接来删除设备上的任意文件。
二、风险等级：
        高
三、影响范围：
        1E 客户端 < 25.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.1e.com/trust-security-compliance/cve-info/

---