漏洞风险提示（20250522）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 vLLM存在远程代码执行漏洞（CVE-2025-47277）
一、漏洞描述：
       
        当用户使用PyNcclPipe KV缓存传输与V0引擎集成的环境，攻击者可以通过发送恶意序列化数据来利用此漏洞，从而获取服务器控制权限。
二、风险等级：
        高
三、影响范围：
        0.6.5 <= vLLM < 0.8.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/vllm-project/vllm/releases

---

2 VMware vCenter Server命令执行漏洞 (CVE-2025-41225）
一、漏洞描述：
       
        由于VMware vCenter Server中存在经过身份验证的命令执行漏洞，具有创建或修改alarms和运行脚本权限的攻击者可以利用此漏洞，在目标vCenter Server上执行任意命令。
二、风险等级：
        高
三、影响范围：
        vCenter Server 8.0 < 8.0 U3e
        vCenter Server 7.0 < 7.0 U3v
        VMware Cloud Foundation (vCenter) = 5.x
        VMware Cloud Foundation (vCenter) = 4.5.x
        VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x < 8.0 U3e
        VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
        VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.broadcom.com/web/ecx/solutiondetails?patchId=5826

---

3 TP-Link Link Archer AX50等产品漏洞（CVE-2025-40634）
一、漏洞描述：
       
        在TP-Link Archer AX50路由器上以root身份运行的“conn-indicator”二进制文件中存在基于堆栈的缓冲区溢出漏洞，固件版本低于1.0.15 build 241203 rel61480。此漏洞允许攻击者通过 LAN 和WAN网络在设备上执行任意代码。
二、风险等级：
        高
三、影响范围：
        TP-Link Archer AX50 <= 241203 rel61480
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.tp-link.com/es/support/download/archer-ax50/#Firmware

---

4 新华三技术有限公司H3C Magic R3010千兆双频Wi-Fi 6路由器存在逻辑缺陷漏洞（CNVD-2025-09455）
一、漏洞描述：
       
        新华三技术有限公司是一家全球领先的数字化解决方案领导者。
        新华三技术有限公司H3C Magic R3010千兆双频Wi-Fi 6路由器存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。
二、风险等级：
        高
三、影响范围：
        新华三技术有限公司 H3C Magic R3010千兆双频Wi-Fi 6路由器 <=V100R004
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.h3c.com/

---