漏洞风险提示（20250424）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM 硬件管理控制台Power Systems命令执行漏洞（CVE-2025-1950）
一、漏洞描述：
        
        IBM硬件管理控制台Power Systems V10.2.1030.0和V10.3.1050.0可能由于对来自不可信来源的库文件的验证不当，使得本地用户能够本地执行命令。漏洞是由于环境变量的权限不正确导致 Power Hardware Management Console （HMC） 上的权限提升。
二、风险等级：
        高
三、影响范围：
        Power Systems = 10.2.1050.0
        Power Systems = 10.2.1030.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7231507

---

2 上海泛微网络科技股份有限公司e-cology存在命令执行漏洞（CNVD-2025-07886）
一、漏洞描述：
      
        e-cology是一款企业级协同办公自动化系统，主要为中大型企业提供全面的信息化解决方案。它以智能化、平台化和全程数字化为特点，旨在提升组织的协同办公效率和管理水平。
        上海泛微网络科技股份有限公司e-cology存在命令执行漏洞，攻击者可利用该漏洞向数据库中写入数据，并利用Ole组件导出为Webshell，实现远程代码执行，进而获取服务器权限。
二、风险等级：
        高
三、影响范围：
        上海泛微网络科技股份有限公司 e-cology <10.74
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.weaver.com.cn/cs/securityDownload.html?src=cn

---

3 用友网络科技股份有限公司用友NC存在SQL注入漏洞（CNVD-2025-07567）
一、漏洞描述：
      
        用友NC是一款面向大型企业的综合性企业管理软件。
        用友网络科技股份有限公司用友NC存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级：
        高
三、影响范围：
        用友网络科技股份有限公司 用友NC
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.yonyou.com

---

4 天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞（CNVD-2025-07565）
一、漏洞描述：
        
        天融信科技集团股份有限公司是一家专注于网络安全和云计算解决方案的高科技企业。‌
        天融信科技集团股份有限公司上网行为管理系统存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。
二、风险等级：
        高
三、影响范围：
        天融信科技集团股份有限公司 上网行为管理系统
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.topsec.com.cn/

---