漏洞风险提示（20250317)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache OFBiz模板引擎注入漏洞(CVE-2025-26865)
一、漏洞描述：
        
        Apache OFBiz是一个开源的企业资源规划（ERP）框架，提供了一套完整的业务应用解决方案。它包括订单管理、库存 管理、会计、客户关系管理等模块，支持高度定制化。OFBiz基于Java开发，具有强大的扩展性和灵活性，适用于各类中小型企业的业务 流程管理。Apache OFBiz模板引擎存在注入漏洞，可能被攻击者利用执行恶意操作。
二、风险等级：
        高
三、影响范围：
        18.12.17 < Apache OFBiz < 18.12.18
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ofbiz.apache.org/download.html/

---

2 Keras 深度学习框架任意代码执行漏洞（CVE-2025-1550）
一、漏洞描述：
        
        Keras 以其多功能性而闻名，支持 JAX、TensorFlow、PyTorch 和 OpenVINO 等后端。它使开发者能够为各种应用构建和训练模型，包括计算机视觉、自然语言处理、音频处理、时间序列预测和推荐系统。攻击者可以通过操纵存档内的config.json文件来 利用这一点。这种操纵允许他们指定任意的 Python 模块和函数，以及它们的参数，然后在模型加载过程中加载和执行。
二、风险等级：
        高
三、影响范围：
        Keras < 3.9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/keras-team/keras/releases/tag/v3.9.0

---

3 JeeWMS任意文件读取漏洞(CVE-2024-27765)
一、漏洞描述：
        
        JeeWMS是JeeWMS开源的一个基于 JAVA 的仓库管理系统。 JeeWMS v.3.7 及之前版本存在安全漏洞，该漏洞源于允许远程攻击者通过 cgformTemplateController 组件获取敏感信息。
二、风险等级：
        高
三、影响范围：
        JeeWMS <= v.3.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.huayi-tec.com/

---

4 Ivanti Secure Access Client 安全漏洞(CVE-2025-22454)
一、漏洞描述：
        
        Ivanti Secure Access Client是美国Ivanti公司的一个安全软件客户端。Ivanti Secure Access Client 22.7R4之前 版本存在安全漏洞，该漏洞源于权限限制不足，可能导致权限提升。
二、风险等级：
        高
三、影响范围：
        Ivanti Secure Access Client < 22.7R4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/s/arti ... 2454?language=en_US

---