免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Fortinet FortiOS 身份认证绕过漏洞(CVE-2025-22252)
一、漏洞描述:
ortiOS、FortiProxy 和 FortiSwitchManager TACACS+ 中存在一个身份认证绕过漏洞,当其配置为使用 ASCII 认证的远程 TACACS + 服务器进行认证时(非默认配置),未经身份验证的远程攻击者可以绕过设备的正常认证机制,成功利用此漏洞可使攻击者获得设备的管理员权限
二、风险等级:
高
三、影响范围:
FortiOS 7.6.0
7.4.4 <= FortiOS 7.4.* <= 7.4.6
7.6.0 <= FortiProxy 7.6.* <= 7.6.1
FortiSwitchManager 7.2.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.fortinet.com/upgrade-tool
2 Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)
一、漏洞描述:
该漏洞源于 Google Chrome 加载程序中的策略执行不足,远程攻击者利用此漏洞可使浏览器发起请求时携带完整的URL,导致敏感信息泄露。
二、风险等级:
高
三、影响范围:
Google Chrome(Windows/Mac) < 136.0.7103.113/.114
Google Chrome(Linux) < 136.0.7103.113
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
3 用友网络科技股份有限公司U8Cloud存在SQL注入漏洞(CNVD-2025-09719)
一、漏洞描述:
U8cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。
用友网络科技股份有限公司U8Cloud存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高
三、影响范围:
用友网络科技股份有限公司 U8Cloud
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.yonyou.com/#/noticeInfo?id=666
4 杭州飞致云信息科技有限公司MaxKB存在命令执行漏洞(CNVD-2025-09293)
一、漏洞描述:
MaxKB是杭州飞致云信息科技有限公司旗下基于大语言模型和RAG的开源知识库问答系统。
杭州飞致云信息科技有限公司MaxKB存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
二、风险等级:
高
三、影响范围:
杭州飞致云信息科技有限公司 MaxKB
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.fit2cloud.com/
|
发表于 2025-5-16 11:45
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡