漏洞风险提示（20251010）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Oracle E-Business Suite 远程代码执行漏洞（CVE-2025-61882）
一、漏洞描述：
        
        Oracle E-Business Suite是一款广泛应用于企业的综合性业务管理软件，提供财务管理、供应链管理、人力资源管理等功能。
        Oracle E-Business Suite存在远程代码执行漏洞。远程未经身份验证的攻击者通过构造恶意的HTTP请求，利用漏洞链中的多个弱点（如SSRF、CRLF注入、路径穿越、XSLT注入等）逐步提升权限，成功利用后可实现远程代码执行。
二、风险等级：
        高
三、影响范围：
        12.2.3 ≤ Oracle E-Business Suite ≤ 12.2.14
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

---

2 西部数据NAS平台命令注入漏洞（CVE-2025-30247）
一、漏洞描述：
        
        西部数据（Western Digital）My Cloud NAS 是一系列面向家庭及小型办公用户的私有云网络存储设备。
        NAS 平台上 Western Digital My Cloud 固件 5.31.108 之前版本的用户界面中存在一个作系统命令注入漏洞，远程攻击者可透过特制的 HTTP POST 执行任意系统命令。
二、风险等级：
        高
三、影响范围：
        所有运行固件 低于 5.31.108 的 Western Digital My Cloud NAS 设备（包括 PR2100 等型号）。
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.westerndigital.com/s ... 5-firmware-5-31-108

---

3 基于Chromium 的 Microsoft Edge 远程执行代码漏洞（CVE-2025-59251）
一、漏洞描述：
        
        Microsoft Edge (Chromium 版) 是微软用 Google 开源的 Chromium 内核重新编写的 Windows 默认浏览器。
        浏览器在处理恶意网页时未能正确验证内存对象，攻击者只需诱使用户访问特制页面即可触发内存破坏，从而以当前用户权限在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        edge V140.0.3485.81之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-59251

---

4 Imagination GPU Driver释放后重用漏洞（CVE-2025-1706）
一、漏洞描述：
        
        Imagination GPU Driver是Imagination公司的一个图形化驱动程序。
        Imagination GPU Driver存在释放后重用漏洞，该漏洞源于非特权用户安装和运行的软件可能进行不当GPU系统调用，攻击者可利用该漏洞触发释放后重用。
二、风险等级：
        高
三、影响范围：
        Imagination GPU Driver
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.imaginationtech.com/gpu-driver-vulnerabilities/

---