漏洞风险提示（20250625）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 泛微e-cology9 SQL注入漏洞（QVD-2025-23834）
一、漏洞描述：
        
        泛微 E-cology9 是一款功能强大的企业级协同管理软件，集智能化、平台化、全程数字化、移动化和社交化于一体，为企业提供全面的办公自动化解决方案。
        泛微 E-cology9 存在 SQL 注入漏洞，该漏洞源于 /js/hrm/getdata.jsp 接口对用户输入的参数没有进行严格校验，直接拼接造成 SQL 注入漏洞。攻击者可利用该漏洞向数据库中注入任意 SQL 命令获取数据库敏感信息，并可能利用 Ole 组件导出为 Webshell 实现远程代码执行，进而获取服务器控制权限。
二、风险等级：
        高
三、影响范围：
        泛微 E-cology 9 < 10.75
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.weaver.com.cn/cs/securityDownload.html

---

2 OrthoView远程命令执行漏洞（CVE-2025-23049）
一、漏洞描述：
      
        OrthoView ‌是一款专为骨科手术规划设计的软件，主要用于关节置换、创伤、截骨术、脊柱和儿科手术等场景。在 OrthoView 7.5.1 及更早版本中发现一个安全问题。在某些情况下，未经身份验证的用户可能能够在 OrthoView 服务器上执行任意命令。
二、风险等级：
        高
三、影响范围：
        OrthoView <= 7.5.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.materialise.com/en/h ... urity-vulnerability

---

3 广东保伦电子股份有限公司itc中心管理服务器存在命令执行漏洞（CNVD-2025-11002）
一、漏洞描述：
        
        广东保伦电子股份有限公司是一家集声光电视讯系统整体解决方案产品研发、设计、生产、销售、服务的高新技术企业。
        广东保伦电子股份有限公司itc中心管理服务器存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。
二、风险等级：
        高
三、影响范围：
        广东保伦电子股份有限公司 itC中心管理服务器
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.itc-audio.cn/

---

4 Microsoft Office代码执行漏洞（CVE-2025-47164）
一、漏洞描述：
        
        Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
        Microsoft Office存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Microsoft Office 2016
        Microsoft 365 Apps for Enterprise
        Microsoft Office LTSC 2021
        Microsoft Office LTSC for Mac 2021
        Microsoft Office 2019
        Microsoft Office for Android
        Microsoft Microsoft Office LTSC 2024
        Microsoft Office LTSC for Mac 2024
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-47164

---