漏洞风险提示（20251110）

发表于 2025-11-10 09:43

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Django SQL注入漏洞（CVE-2025-64459）
一、漏洞描述：
屏幕截图 2025-11-10 092730.jpg

      Django是一个高级的Python Web框架，用于快速开发安全、可维护的网站。
当攻击者通过字典扩展方式传递一个精心构造的字典作为_connector关键字参数时，Django在构造SQL查询时未正确处理该输入，导致恶意SQL代码的注入。攻击者可以利用此漏洞绕过应用程序的SQL查询安全机制，执行未授权的数据库操作，可能导致敏感数据泄露、数据篡改或数据丢失。
二、风险等级：
      高
三、影响范围：
      Django 5.1.13 更早版本
      Django 4.2.25 更早版本
      Django 5.2.7 更早版本
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.djangoproject.com/download/

2 AIxBlock跨站脚本漏洞（CVE-2025-63885）
一、漏洞描述：
屏幕截图 2025-11-10 092149.jpg

      AIxBlock是一个AI自动化平台。
AIxBlock 04f305版本存在跨站脚本漏洞，该漏洞源于model_desc字段未对输入进行验证，攻击者可利用该漏洞导致存储型跨站脚本攻击。
二、风险等级：
      高
三、影响范围：
      AIxBlock AIxBlock 04f305
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://github.com/AIxBlock-2023 ... ource/issues/278%2C

3 Foxit PDF Reader缓冲区溢出漏洞（CVE-2025-9325）
一、漏洞描述：
屏幕截图 2025-11-10 092315.jpg

      Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。
Foxit PDF Reader存在安全漏洞，攻击者可利用该漏洞可能导致信息泄露。
二、风险等级：
      高
三、影响范围：
      Foxit PDF Reader
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.foxit.com/support/security-bulletins.html

4 TOTOLINK LR350 sub_421BAC函数堆栈缓冲区溢出漏洞（CVE-2025-63469）
一、漏洞描述：
屏幕截图 2025-11-10 093040.jpg

      TOTOLINK LR350是中国吉翁电子（TOTOLINK）推出的4GLTE无线路由器。
TOTOLINK LR350存在堆栈缓冲区溢出漏洞，该漏洞源于sub_421BAC函数中ssid参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞导致拒绝服务。
二、风险等级：
      高
三、影响范围：
      TOTOLINK LR350 V9.3.5u.6369_B20220309
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://www.totolink.net/home/me ... 11762137239_1222992

		自动登录	找回密码
密码			注册创意安天