免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Microsoft Excel代码执行漏洞(CVE-2025-59236)
一、漏洞描述:
Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。
Microsoft Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级:
高
三、影响范围:
Microsoft Office Online Server
Microsoft 365 Apps for Enterprise
Microsoft Office LTSC 2021
Microsoft Office LTSC for Mac 2021
Microsoft Office 2019
Microsoft Microsoft Office LTSC 2024
Microsoft Office LTSC for Mac 2024
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2025-59236
2 Wikimedia Foundation Mediawiki Breadcrumbs2跨站脚本漏洞(CVE-2025-23078)
一、漏洞描述:
Wikimedia Foundation Mediawiki Breadcrumbs2是美国维基媒体(Wikimedia)基金会的一个Mediawiki扩展。
Wikimedia Foundation Mediawiki Breadcrumbs2 1.39.X至1.39.11之前版本、1.41.X至1.41.5之前版本、1.42.X至1.42.4之前版本存在跨站脚本漏洞,该漏洞源于程序未正确中和输入,攻击者可利用该漏洞实施跨站脚本攻击。
二、风险等级:
高
三、影响范围:
1.42.X≤Wikimedia Foundation Mediawiki Breadcrumbs2 < 1.42.4
1.41.X≤Wikimedia Foundation Mediawiki Breadcrumbs2 < 1.41.5
1.39.X≤Wikimedia Foundation Mediawiki Breadcrumbs2 < 1.39.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://phabricator.wikimedia.org/T382043
3 DataEase H2 JDBC注入代码执行漏洞(CVE-2025-62420)
一、漏洞描述:
DataEase是一套基于Java开发的开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。
DataEase H2.java处理JDBC连接验证存在代码注入漏洞,该漏洞源于不正确过滤输入参数,远程攻击者可利用该漏洞执行任意代码。
二、风险等级:
高
三、影响范围:
DataEase DataEase <2.10.14
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/dataease/dataease/releases/tag/v2.10.14
4 Centreon Web SQL注入漏洞(CVE-2025-4650)
一、漏洞描述:
Centreon Web是法国Centreon公司的一套开源的系统监控工具。该产品主要提供对网络、系统和应用程序等资源的监控功能。
Centreon Web存在安全漏洞,该漏洞源于Meta Service指标页面存在SQL注入。攻击者可利用该漏洞执行SQL注入攻击。
二、风险等级:
高
三、影响范围:
Centreon Centreon Web >=24.10.0,<24.10.9
Centreon Centreon Web >=24.04.0,<24.04.16
Centreon Centreon Web >=23.10.0,<23.10.26
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/centreon/centreon/releases
|
发表于 2025-10-22 09:34
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡