免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache ActiveMQ NMS AMQP 反序列化漏洞(CVE-2025-54539)
一、漏洞描述:
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。
与不受信任AMQP服务器交互时,客户端的二进制反序列化可被滥用,攻击者可能执行任意代码。
二、风险等级:
高
三、影响范围:
Apache ActiveMQ NMS AMQP Client ≤ 2.3.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://activemq.apache.org/
2 Veeam Backup & Replication 12 RCE漏洞(CVE-2025-48984)
一、漏洞描述:
Veeam Backup & Replication是一款企业级备份和灾难恢复解决方案,主要用于虚拟化环境中的数据保护。
服务器端对用户输入处理不当,允许未经授权的命令以备份服务器的权限执行,攻击者可以通过网络远程执行任意代码,从而可能完全控制受影响的备份系统。
二、风险等级:
高
三、影响范围:
Veeam Backup & Replication ≤ 12.3.2.3617
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veeam.com/kb4696/
3 Samba WINS 命令注入漏洞(CVE-2025-10230)
一、漏洞描述:
Samba是一个开源的软件套件,主要用于在Unix和Linux系统与Windows系统之间共享文件和打印资源。
Samba配置了wins hook参数,并且WINS支持被启用时,Samba在WINS名称变更时会执行该参数指定的程序。然而,Samba未对传递给wins hook程序的名称进行有效验证,导致可以通过插入包含shell元字符的名称来执行任意命令,从而实现未经认证的远程代码执行。
二、风险等级:
高
三、影响范围:
Samba 版本低于 4.23.2、4.22.5、4.21.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.samba.org/
4 7-Zip 目录穿越导致远程代码执行漏洞(CVE-2025-11001)
一、漏洞描述:
7-Zip是一款开源的文件压缩和解压缩软件,支持多种文件格式,包括7z、ZIP、RAR、TAR、GZ等。
ZIP文件中符号链接(symlink)的处理方式。攻击者可通过构造恶意ZIP文件,利用该目录遍历漏洞,导致程序访问未经授权的目录并执行恶意代码。
二、风险等级:
高
三、影响范围:
7-Zip V25.00之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ip7z/7zip/releases/
|
发表于 2025-10-23 09:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡