免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Veeam Backup & Replication 远程代码执行漏洞 (CVE-2025-23121)
一、漏洞描述:
Veeam Backup & Replication是一款企业级备份和灾难恢复解决方案,主要用于虚拟化环境中的数据保护。它支持VMware vSphere、Microsoft Hyper-V等虚拟平台,提供高效的备份、恢复、复制及监控功能。Veeam能够进行即时恢复、灾难恢复和云备份,帮助企业确保数据安全、业务连续性和快速恢复。该软件具有简便的管理界面、灵活的存储选项和强大的自动化功能,适用于各种规模的企业。
该漏洞允许经过身份验证的域用户在Veeam Backup & Replication备份服务器上执行远程代码。
二、风险等级:
高
三、影响范围:
Veeam Backup & Replication≤12.3.1.1139
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veeam.com/kb4696/
2 Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818)
一、漏洞描述:
Apache Kafka是一个开源的分布式流处理平台,主要用于高吞吐、可扩展的消息发布与订阅。它支持实时数据传输,可广泛应用于日志收集、事件监控、流式计算等场景。Kafka 通过Producer、Broker和Consumer构建消息管道,具备持久化、高可用和容错能力,广泛用于大数据和微服务架构中。
攻击者可通过Kafka Connect配置中的sasl.jaas.config参数,将Kafka客户端指向恶意LDAP服务器,诱导服务器反序列化不可信数据,从而实现任意代码执行。该漏洞影响使用SASL JAAS配置的Kafka Connect集群,特别是在未对登录模块进行限制配置的环境中。
二、风险等级:
高
三、影响范围:
2.3.0 ≤ Apache Kafka ≤ 3.9.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kafka.apache.org/downloads/
3 PowSyBl 数据反序列化漏洞(CVE-2025-47771)
一、漏洞描述:
PowSyBl (Power System Blocks) 是一个构建面向电源系统软件的框架。在版本 6.3.0 到 6.7.1 中,SparseMatrix 类的 read 方法中存在反序列化问题,该问题可能导致各种权限升级,具体取决于具体情况。此方法接受 InputStream 并返回 SparseMatrix 对象。此问题已在 com.powsybl:powsybl-math: 6.7.2 中修复。此问题的解决方法包括不使用 SparseMatrix 反序列化(SparseMatrix.read(...) 方法)。
二、风险等级:
高
三、影响范围:
6.3.0 <= com.powsybl:powsybl-math <= 6.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/powsybl/powsy ... GHSA-f5cx-h789-j959
4 北京网动网络科技股份有限公司网动统一通信平台存在信息泄露漏洞(CNVD-2025-13031)
一、漏洞描述:
北京网动网络科技股份有限公司为业内领先的“信创·数智”视讯产品及解决方案提供商。
北京网动网络科技股份有限公司网动统一通信平台存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
二、风险等级:
高
三、影响范围:
北京网动网络科技股份有限公司 网动统一通信平台
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://iactive.com.cn/
|