免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Tomcat 逻辑缺陷漏洞(CVE-2025-31651)
一、漏洞描述:
Tomcat是一个开源的、轻量级的Web应用服务器和Servlet容器。它由Apache软件基金会下的Jakarta项目开发,是目前最流行的 Java Web服务器之一。
Apache Tomcat中存在的转义、元字符或控制序列处理不当漏洞。对于一小部分不太可能的重写规则配置,精心构造的请求可能绕过某些重写规则。如果这些重写规则有效地强制执行了安全约束,则这些约束可能会被绕过。
二、风险等级:
高
三、影响范围:
Apache Tomcat < 11.0.6
Apache Tomcat < 10.1.40
Apache Tomcat < 9.0.104
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nvd.nist.gov/vuln/detail/CVE-2025-31651
2 厦门科拓通讯技术股份有限公司车场服务器管理面板存在命令执行漏洞(CNVD-2025-08450)
一、漏洞描述:
厦门科拓通讯技术股份有限公司是一家专业的智慧停车解决方案提供商,专注于智慧停车行业多年。
厦门科拓通讯技术股份有限公司车场服务器管理面板存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
二、风险等级:
高
三、影响范围:
厦门科拓通讯技术股份有限公司 车场服务器管理面板
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.keytop.com.cn/
3 四川迅睿云软件开发有限公司迅睿CMS存在SQL注入漏洞(CNVD-2025-08495)
一、漏洞描述:
迅睿CMS是一款基于CodeIgniter4开发的内容管理框架,主要用于网站建设和内容管理。
四川迅睿云软件开发有限公司迅睿CMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高
三、影响范围:
四川迅睿云软件开发有限公司 迅睿CMS
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.xunruicms.com/
4 北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞(CNVD-2025-08026)
一、漏洞描述:
北京网动网络科技股份有限公司是全球领先的云视讯解决方案及服务提供商。
北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高
三、影响范围:
北京网动网络科技股份有限公司 网动统一通信平台 V1.0.210125
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.iactive.com.cn/
|
发表于 2025-4-30 09:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡