漏洞风险提示（20251024）

发表于 2025-10-24 09:44

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 SAMSUNG Notes信息泄露漏洞（CVE-2025-21037）
一、漏洞描述：
屏幕截图 2025-10-24 092306.jpg

      SAMSUNG Notes是韩国三星（SAMSUNG）公司的一个应用软件。用于提供一个记录功能。
SAMSUNG Notes存在信息泄露漏洞，攻击者可利用该漏洞导致跨用户配置文件的数据访问。
二、风险等级：
      高
三、影响范围：
      Samsung Notes V4.4.30.63之前版本
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://security.samsungmobile.c ... r=2025&month=09

2 ChanCMS /cms/article/findField文件SQL注入漏洞（CVE-2025-11902）
一、漏洞描述：
屏幕截图 2025-10-24 093842.jpg

      ChanCMS是一个内容管理系统。
ChanCMS 3.3.2及之前版本存在SQL注入漏洞，该漏洞源于文件/cms/article/findField中函数findField缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
二、风险等级：
      高
三、影响范围：
      ChanCMS ChanCMS ≤3.3.2
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://gitee.com/chancms/ChanCMS/releases

3 ZOHO ManageEngine ADManager Plus命令注入漏洞（CVE-2025-10020）
一、漏洞描述：
屏幕截图 2025-10-24 093105.jpg

      ZOHO ManageEngine ADManager Plus是美国ZOHO公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。
ZOHO ManageEngine ADManager Plus 8024之前版本存在命令注入漏洞，该漏洞源于Custom Script组件未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
二、风险等级：
      高
三、影响范围：
      Zoho Zoho ManageEngine ADManager Plus V8024之前版本
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.manageengine.com/pro ... r/service-pack.html

4 D-Link DIR-820L访问控制错误漏洞（CVE-2025-52079）
一、漏洞描述：
屏幕截图 2025-10-24 093415.jpg

      D-Link DIR-820L是D-Link公司推出的无线路由器设备。
D-Link DIR-820L 1.06B02版本存在访问控制不当漏洞，该漏洞源于管理员密码设置功能未对身份验证机制进行正确验证。攻击者可利用该漏洞通过向/get_set.ccp接口发送特制POST请求，实现未经验证的密码修改。
二、风险等级：
      高
三、影响范围：
      D-Link DIR-820L 1.06B02
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.dlink.com/en/security-bulletin/

		自动登录	找回密码
密码			注册创意安天