漏洞风险提示（20251127）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FortiWeb API 与 CLI 多处命令注入漏洞（CVE-2025-58034）
一、漏洞描述：
        
        Fortinet FortiWeb是Fortinet公司推出的Web应用防火墙（WAF），用于保护网站和Web应用免受SQL注入、跨站脚本（XSS）、文件包含等常见攻击。
        该漏洞源于API与CLI接口对输入内容缺乏有效过滤，允许经过身份验证的攻击者通过构造特定的HTTP请求或CLI指令，将恶意命令注入系统中并在底层操作系统上执行。成功利用此漏洞的攻击者可获取超出授权范围的执行权限，从而可能导致系统被完全控制、配置遭篡改或进一步横向渗透。
二、风险等级：
        高
三、影响范围：
        8.0.0 ≤ FortiWeb ≤ 8.0.1
        7.6.0 ≤ FortiWeb ≤ 7.6.5
        7.4.0 ≤ FortiWeb ≤ 7.4.10
        7.2.0 ≤ FortiWeb ≤ 7.2.11
        7.0.0 ≤ FortiWeb ≤ 7.0.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://fortiguard.fortinet.com/psirt/FG-IR-25-513/

---

2 Revive Adserver stats-conversions.php脚本跨站脚本漏洞（CVE-2025-52668）
一、漏洞描述：
        
        Revive Adserver是一款开源的广告服务系统。
        Revive Adserver存在跨站脚本漏洞，该漏洞源于stats-conversions.php脚本输入中和不当，攻击者可利用该漏洞导致信息泄露和会话劫持。
二、风险等级：
        高
三、影响范围：
        Revive Adserver Revive Adserver ≤5.5.2
        Revive Adserver Revive Adserver ≤6.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.revive-adserver.com/download/

---

3 Microsoft Windows Bluetooth Service资源管理错误漏洞（CVE-2025-59220）
一、漏洞描述：
        
        Microsoft Windows Bluetooth Service是美国微软Microsoft公司的一个蓝牙驱动程序。
        Microsoft Windows Bluetooth Service存在资源管理错误漏洞，该漏洞源于共享资源同步不当导致的竞争条件，攻击者可利用该漏洞导致本地权限提升。
二、风险等级：
        高
三、影响范围：
        Microsoft Windows Bluetooth Service
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-59220

---

4 Microsoft Windows权限提升漏洞（CVE-2025-59278）
一、漏洞描述：
        
        Microsoft Windows是美国微软公司的一套个人设备使用的操作系统。
        Microsoft Windows存在安全漏洞，攻击者可利用该漏洞提升权限。
二、风险等级：
        高
三、影响范围：
        Server：2008(R2)｜2012(R2)｜2016｜2019｜2022｜2025
        Win10：1507｜1607｜1809｜21H2｜22H2
        Win11：21H2｜22H2｜23H2｜24H2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-59278

---