免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 TOTOLINK X15 HTTP POST Request formFilter buffer overflow (CVE-2025-8242)
一、漏洞描述:
发现了一个名为TOTOLINK X15 1.0.0-B20230714.1105的严重漏洞。该漏洞影响HTTP POST请求处理器组件中未知代码的文件/boafrm/formFilter。操纵参数ip6addr/url/vpnPassword/vpnUser会导致缓冲区溢出。攻击可以远程发起。该漏洞的利用方法已经公开,可能会被利用。
二、风险等级:
高
三、影响范围:
TOTOLINK X15 1.0.0-B20230714.1105
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
2 D-Link DIR-890L UART港口RGBIN硬编码凭证(CVE-2025-8231)
一、漏洞描述:
发现了一个被分类为关键的漏洞,存在于D-Link DIR-890L产品中,版本低于111b04。这个漏洞影响组件UART端口的某些未知文件处理过程。通过操纵这一过程可以导致硬编码凭据泄露。攻击者可以对物理设备进行攻击。该漏洞已被公开披露,可能被利用。这个漏洞只影响产品维护者不再支持的产品。
二、风险等级:
高
三、影响范围:
版本低于111b04
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dlink.com.cn/
3 上海lingdang信息技术Lingdang CRM HTTP POST请求TABDETAIL_MODULESAVE_DXKP.PHP SQL注入(CVE-2025-8219)
一、漏洞描述:
发现上海凌顶信息技术有限公司的凌顶CRM版本8.6.4.7存在一个严重漏洞。该漏洞影响了组件中HTTP POST请求处理器的某些未知处理过程。通过操作参数getvaluestring,可能导致SQL注入攻击。攻击可能来自远程。升级到版本8.6.5.2可以解决此问题。建议升级受影响的组件。供应商解释:“所有SQL注入向量在v8.6.5+版本中已通过参数化查询和输入清理进行了修补。我们强烈建议所有客户升级到当前版本(v8.6.5.2),其中包括此修复程序和其他安全增强功能。”
二、风险等级:
高
三、影响范围:
CRM版本8.6.4.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.51mis.com/
|
发表于 2025-7-28 09:02
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡