漏洞风险提示（20250527）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新华三技术有限公司 Gr-5400ax漏洞（CVE-2025-5156）
一、漏洞描述：
       
        在H3C GR-5400AX版本至100R008中发现一个被归类为严重的安全漏洞。该漏洞影响文件/routing/goform/aspForm中的EditWlanMacList函数。对参数param的操纵导致缓冲区溢出。攻击可远程发起。该漏洞利用已公开，并可能被使用。
二、风险等级：
        高
三、影响范围：
        H3C GR-5400AX <= <=100R008
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.h3c.com/cn/Home/Agre ... B9%A6&s=7813156

---

2 Moodle代码注入漏洞（CVE-2025-3641）
一、漏洞描述：
       
        Moodle是Moodle开源的一套免费的电子学习软件平台，也称课程管理系统、学习管理系统或虚拟学习环境。
        Moodle存在代码注入漏洞，该漏洞源于Moodle LMS Dropbox仓库存在安全问题，影响启用该仓库的教师和管理员。攻击者可利用该漏洞执行任意代码。
二、风险等级：
        高
三、影响范围：
        moodle Moodle
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://download.moodle.org/releases/latest/

---

3 TOTOLINK CA300-PoE命令注入漏洞（CVE-2025-44860）
一、漏洞描述：
       
        TOTOLINK CA300-PoE是中国吉翁电子（TOTOLINK）公司的一款无线接入点。
        TOTOLINK CA300-PoE存在命令注入漏洞，该漏洞源于msg_process函数Port参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞执行任意命令。
二、风险等级：
        高
三、影响范围：
        TOTOLINK CA300-PoE V6.2c.884_B20180522
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.totolink.net/

---

4 Microsoft Office代码执行漏洞（CVE-2025-30377）
一、漏洞描述：
       
        Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
        Microsoft Office存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Microsoft 365 Apps for Enterprise
        Microsoft Office 2016
        Microsoft Office 2019
        Microsoft Office LTSC 2021
        Microsoft Microsoft Office LTSC 2024
        Microsoft Office LTSC for Mac 2021
        Microsoft Office LTSC for Mac 2024
        Microsoft Office for Android
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://portal.msrc.microsoft.co ... sory/CVE-2025-30377

---