漏洞风险提示（20250509）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 金蝶Apusic应用服务器IIOP反序列化远程代码执行漏洞（ CNVD-2025-08294）
一、漏洞描述：
       
        金蝶Apusic应用服务器（Apusic Application Server，AAS）是一款企业级中间件，全面支持JakartaEE规范，提供Web、EJB、WebService容器，适配国产软硬件，用于支撑企业级应用运行。
        金蝶软件（中国）有限公司金蝶Apusic应用服务器存在IIOP反序列化远程代码执行漏洞，攻击者可利用该漏洞构造恶意的序列化数据并发送到服务器，从而实现远程代码执行。
二、风险等级：
        高
三、影响范围：
        金蝶Apusic应用服务器 V10.0 企业版 SP1-SP8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.apusic.com/view-477-120.html

---

2 SAP NetWeaver Application Server代码注入漏洞（CVE-2025-23186）
一、漏洞描述：
       
        SAP NetWeaver Application Server是德国思爱普（SAP）公司的一款应用程序服务器。
        SAP NetWeaver Application Server存在代码注入漏洞，该漏洞源于不当的认证检查，攻击者构造恶意RFC请求到受限目标。攻击者可利用该漏洞完全控制远程服务。
二、风险等级：
        高
三、影响范围：
        SAP NetWeaver Application Server
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://me.sap.com/notes/3554667

---

3 Google Chrome输入验证错误漏洞（CNVD-2025-09255）
一、漏洞描述：
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome存在输入验证错误漏洞，该漏洞源于Intents中的不当实现，攻击者可利用该漏洞提交特殊Web请求，诱使用户解析，可提升权限。
二、风险等级：
        高
三、影响范围：
        Google Chrome <135.0.7049.52
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html

---

4 FreeBSD缓冲区溢出漏洞（CVE-2025-0373）
一、漏洞描述：
       
        FreeBSD是FreeBSD基金会的一套类Unix操作系统。
        FreeBSD存在缓冲区溢出漏洞，该漏洞源于cd9660、tarfs和ext2fs文件系统中VOP_VPTOFH的实现会使目标FID缓冲区溢出4个字节，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        FreeBSD
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.freebsd.org/advisories/FreeBSD-SA-25:02.fs.asc

---