漏洞风险提示（20250704）

发表于 2025-7-4 10:22

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞（CNVD-2025-14404）
一、漏洞描述：
用友.jpg

      用友U8Cloud是一款企业级ERP，用于协助企业实现业务协同和流程管理的高效化和数字化。
      用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级：
      高
三、影响范围：
      用友网络科技股份有限公司用友U8Cloud
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://security.yonyou.com/#/noticeInfo?id=596

2 北京超图软件股份有限公司SuperMap iServer存在命令执行漏洞（CNVD-2025-14393）
一、漏洞描述：

      SuperMap iServer是基于高性能跨平台GIS内核的云GIS应用服务器，提供全功能的GIS服务发布、管理与聚合能力，并支持多层次的扩展开发。
      北京超图软件股份有限公司SuperMap iServer存在命令执行漏洞，攻击者可利用漏洞执行命令。
二、风险等级：
      高
三、影响范围：
      北京超图软件股份有限公司 SuperMap iServer 9D
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      http://www.supermap.com.cn

3 北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞（CNVD-2025-14197）
一、漏洞描述：

      网动统一通信平台是一款综合性的通信平台，旨在提升用户的沟通效率和便利性，提供一个统一的通信环境‌‌。
      北京网动网络科技股份有限公司网动统一通信平台存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级：
      高
三、影响范围：
      北京网动网络科技股份有限公司网动统一通信平台
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://iactive.com.cn/

4 深圳市联软科技股份有限公司联软安渡UniNXG安全数据交换系统存在SQL注入漏洞（CNVD-2025-10228）
一、漏洞描述：

      联软安渡UniNXG安全数据交换系统是联软科技发明的，融合网络隔离、网盘和DLP技术于一体的专业产品。
      深圳市联软科技股份有限公司联软安渡UniNXG安全数据交换系统存在SQL注入漏洞，攻击者可利用该漏洞向后台发送包含恶意指令代码的PostgreSQL语句，间接调用命令执行权限写入webshell，在无需登录的情况下获取目标服务器的控制权限。
二、风险等级：
      高
三、影响范围：
      深圳市联软科技股份有限公司联软安渡UniNXG安全数据交换系统
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.leagsoft.com/product-detail/15

5 Autel MaxiCharger AC Wallbox Commercial缓冲区溢出漏洞（CNVD-2025-14945）
一、漏洞描述：
充电器 - 副本 (2).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在缓冲区溢出漏洞，该漏洞源于ble_process_esp32_msg函数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

6 Autel MaxiCharger AC Wallbox Commercial缓冲区溢出漏洞（CNVD-2025-14946）（CNVD-2025-14946）
一、漏洞描述：
充电器 - 副本 (2).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在缓冲区溢出漏洞，该漏洞源于DLB_SlaveRegister消息未能正确验证输入数据的长度大小，攻击者可利用该漏洞在设备上下文中执行代码。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

7 Autel MaxiCharger AC Wallbox Commercial缓冲区溢出漏洞（CNVD-2025-14947）（CNVD-2025-14947）
一、漏洞描述：
充电器 - 副本 (3).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在缓冲区溢出漏洞，该漏洞源于JSON消息未能正确验证输入数据的长度大小，攻击者可利用该漏洞在设备上下文中执行代码。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

8 Autel MaxiCharger AC Wallbox Commercial缓冲区溢出漏洞（CNVD-2025-14948）（CNVD-2025-14948）
一、漏洞描述：
充电器 - 副本 (4).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在缓冲区溢出漏洞，该漏洞源于USB帧包未能正确验证输入数据的长度大小，攻击者可利用该漏洞在设备上下文中执行代码。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

9 Autel MaxiCharger AC Wallbox Commercial代码执行漏洞（CNVD-2025-14949）
一、漏洞描述：
充电器 - 副本 (5).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在代码执行漏洞，攻击者可利用该漏洞在设备上下文中执行任意代码。
二、风险等级：
      中
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

10 Autel MaxiCharger AC Wallbox Commercial权限提升漏洞（CNVD-2025-14950）
一、漏洞描述：
充电器 - 副本 (6).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在权限提升漏洞，攻击者可利用该漏洞将权限升级到通常受用户保护的资源。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

11 Autel MaxiCharger AC Wallbox Commercial身份验证绕过漏洞（CNVD-2025-14951）
一、漏洞描述：
充电器 - 副本 (7).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在身份验证绕过漏洞，该漏洞是由于对命令来源的验证不足。攻击者可利用该漏洞绕过系统上的身份验证。
二、风险等级：
      中
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

12 Autel MaxiCharger AC Wallbox Commercial信息泄露漏洞（CNVD-2025-14952）
一、漏洞描述：
充电器 - 副本 (8).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在信息泄露漏洞，攻击者可利用该漏洞导致信息泄露。
二、风险等级：
      中
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

13 Autel MaxiCharger AC Wallbox Commercial访问控制错误漏洞（CNVD-2025-14953）
一、漏洞描述：
充电器 - 副本 (9).jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在访问控制错误漏洞，该漏洞源于Pile API缺少身份验证，攻击者可利用该漏洞导致凭据泄露。
二、风险等级：
      高
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

14 Autel MaxiCharger AC Wallbox Commercial命令执行漏洞（CNVD-2025-14954）
一、漏洞描述：
充电器 - 副本.jpg

      Autel MaxiCharger AC Wallbox Commercial是美国Autel公司的一款智慧型AI电动车充电器。
      Autel MaxiCharger AC Wallbox Commercial存在命令执行漏洞，该漏洞源于ble_process_esp32_msg函数输入误解，攻击者可利用该漏洞导致执行AT命令。
二、风险等级：
      中
三、影响范围：
      Autel MaxiCharger AC Wallbox Commercial <V1.39.51(American)
      Autel MaxiCharger AC Wallbox Commercial <V1.56.51(European)
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://store.autelenergy.com/pr ... ness-50a-ev-charger

15 Dell PowerScale OneFS SQL注入漏洞（CNVD-2025-15005）
一、漏洞描述：
dell - 副本 (2).jpg

      Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。
      Dell PowerScale OneFS存在SQL注入漏洞，该漏洞源于SQL命令中特殊元素中和不当，攻击者可利用该漏洞导致拒绝服务、信息泄露和信息篡改。
二、风险等级：
      中
三、影响范围：
      DELL PowerScale OneFS >=9.5.0.0，<=9.10.0.1
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.dell.com/support/kbd ... ity-vulnerabilities

16 WordPress插件3D FlipBook跨站脚本漏洞（CNVD-2025-14955）
一、漏洞描述：

      WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
      WordPress插件FlipBook 1.16.15及之前版本存在跨站脚本漏洞，该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞在页面中注入任意web脚本，这些脚本将在用户访问注入的页面时执行。
二、风险等级：
      低
三、影响范围：
      WordPress 3D FlipBook plugin <=1.16.15
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://wordpress.org/plugins/in ... ered-physics-engine

17 Dell Wyse Management Suite WMS跨站脚本漏洞（CNVD-2025-15006）（CNVD-2025-15006）
一、漏洞描述：
dell - 副本.jpg

      Dell Wyse Management Suite WMS是美国戴尔（Dell）公司的一个云端与本地管理平台。用于集中管理Wyse轻量级终端设备，支持远程配置、固件更新、安全策略管理等功能。
   Dell Wyse Management Suite WMS存在跨站脚本漏洞，该漏洞源于输入中和不当，攻击者可利用该漏洞导致跨站脚本攻击。
二、风险等级：
      高
三、影响范围：
      DELL Wyse Management Suite WMS <5.2
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.dell.com/support/hom ... roductcode=wyse-wms

18 Dell Wyse Management Suite WMS跨站请求伪造漏洞（CNVD-2025-15007）
一、漏洞描述：

      Dell Wyse Management Suite WMS是美国戴尔（Dell）公司的一个云端与本地管理平台。用于集中管理Wyse轻量级终端设备，支持远程配置、固件更新、安全策略管理等功能。
      Dell Wyse Management Suite WMS存在跨站请求伪造漏洞，该漏洞源于WEB应用未充分验证请求是否来自可信用户，攻击者可利用该漏洞导致服务端请求伪造。
二、风险等级：
      低
三、影响范围：
      DELL Wyse Management Suite WMS <5.2
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.dell.com/support/hom ... roductcode=wyse-wms

19 Adobe Experience Manager跨站脚本漏洞（CNVD-2025-14985）
一、漏洞描述：

      Adobe Experience Manager是Adobe公司推出的一款综合性内容管理解决方案。
      Adobe Experience Manager存在跨站脚本漏洞，该漏洞源于表单字段容易受到存储型跨站脚本攻击。攻击者可利用该漏洞导致恶意脚本执行。
二、风险等级：
      中
三、影响范围：
      Adobe Adobe Experience Manager <=6.5.22
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://helpx.adobe.com/security ... ager/apsb25-48.html

20 Adobe Experience Manager跨站脚本漏洞（CNVD-2025-14986）（CNVD-2025-14986）
一、漏洞描述：

      Adobe Experience Manager是Adobe公司推出的一款综合性内容管理解决方案。
      Adobe Experience Manager存在跨站脚本漏洞，该漏洞源于表单字段容易受到存储型跨站脚本攻击。攻击者可利用该漏洞导致恶意脚本执行。
二、风险等级：
      中
三、影响范围：
      Adobe Adobe Experience Manager <=6.5.22
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://helpx.adobe.com/security ... ager/apsb25-48.html

		自动登录	找回密码
密码			注册创意安天