漏洞风险提示（20250912）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SAP NetWeaver存在反序列化漏洞（CVE-2025-42944）
一、漏洞描述：
        
        SAP NetWeaver应用服务器是SAP应用程序的运行时环境，SAP产品可在其上运行。
        未经身份验证的攻击者可以通过RMI-P4模块向开放端口提交恶意负载来利用系统漏洞，从而严重影响应用程序的机密性、完整性和可用性。
二、风险等级：
        高
三、影响范围：
        SAP NetWeaver version7.50
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.sap.com/en/my-su ... september-2025.html

---

2 H2O-3 JDBC反序列化漏洞 (CVE-2025-6507)
一、漏洞描述：
        
        h2o-3是一个开源的分布式机器学习平台，旨在让用户轻松地基于大数据进行预测分析和模型构建。
        该漏洞绕过了之前的补丁，攻击者可利用该JDBC注入漏洞读取系统敏感数据和远程代码执行，最终可完全控制受影响的 H2O-3。
二、风险等级：
        高
三、影响范围：
        H2O-3 V3.46.0.8之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/h2oai/h2o-3/c ... 779b6ec108a95b7382d

---

3 XWiki 路径遍历漏洞（CVE-2025-55748）
一、漏洞描述：
        
        XWiki 平台是一个通用的 wiki 平台，为在其上构建的应用程序提供运行时服务。
        XWiki 对用户输入过滤不当导致路径遍历，攻击者可读取配置文件等敏感信息。
二、风险等级：
        高
三、影响范围：
        XWiki < V16.10.7
        XWiki < V17.4.0 - rc-1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/xwiki/xwiki-platform/releases

---

4 TOTOLINK X5000R命令注入漏洞（CVE-2025-9934）
一、漏洞描述：
        
        TOTOLINK X5000R是一款支持Wi-Fi 6技术的无线路由器，具备全覆盖Mesh系统和双频段传输功能，适用于家庭及企业网络环境。
        TOTOLINK X5000R存在命令注入漏洞，该漏洞源于文件/cgi-bin/cstecgi.cgi中参数pid未能正确过滤构造命令特殊字符、命令等。
二、风险等级：
        高
三、影响范围：
        TOTOLINK X5000R 9.1.0cu.2415_B20250515
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.totolink.net/

---