漏洞风险提示（20250910）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 福昕 PDF Reader PRC 文件解析越界读取远程代码执行漏洞（CVE-2025-9329）
一、漏洞描述：
        
        福昕PDF阅读器是一款由福昕软件开发有限公司推出的轻量级、多功能的PDF文档阅读与编辑工具。
        Foxit PDF Reader在解析PRC文件时，因未验证用户数据，导致越界读取。攻击者诱使用户打开恶意PDF即可远程执行任意代码。
二、风险等级：
        高
三、影响范围：
        Foxit PDF Editor=2023.3.0.23028
        FoxitPDF Editor=2025.1.0.27937
        Foxit PDF Editor=2024.4.1.27687
        Foxit PDF Reader=2025.1.0.27937
        Foxit PDF Editor=13.1.7.23637
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.foxit.com/support/security-bulletins.html

---

2 5ire 聊天消息 XSS 漏洞支持远程代码执行（CVE-2025-58357）
一、漏洞描述：
        
        5ire 是一个跨平台桌面人工智能助手和模型上下文协议客户端。
        版本 0.13.2 在聊天页面的脚本小工具中包含一个漏洞，该漏洞通过多种媒介进行内容注入攻击：恶意提示注入页面、受损的 MCP 服务器和被利用的工具集成。
二、风险等级：
        高
三、影响范围：
        5irev0.14.0之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://5ireai.com/download

---

3 Dataease H2数据库远程代码执行漏洞（CVE-2025-49002）
一、漏洞描述：
        
        DataEase是一款开源的商业智能和数据可视化工具。
        由于其补丁存在缺陷，攻击者可以通过不区分大小写的方式绕过补丁，结合Dataease JWT 认证绕过漏洞，可在无需登录的情况下执行任意代码，控制服务器。
二、风险等级：
        高
三、影响范围：
        DataEase版本≤ V2.10.8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://kb.fit2cloud.com/?p=ceea6686-af18-45a8-a658-f448ba9c42cd

---

4 Dataease JWT 认证绕过漏洞（CVE-2025-49001）
一、漏洞描述：
        
        DataEase是一款开源的商业智能和数据可视化工具。
        其JWT算法实现存在缺陷，导致攻击者可以使用任何secret来伪造JWT令牌，从而绕过权限校验调用后台相关功能接口，甚至造成代码执行。
二、风险等级：
        高
三、影响范围：
        DataEase版本≤ V2.10.8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/dataease/data ... GHSA-xx2m-gmwg-mf3r

---