免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Mediawiki - FlexDiagrams Extension跨站脚本漏洞(CVE-2025-62670)
一、漏洞描述:
Mediawiki - FlexDiagrams Extension是MediaWiki的一个扩展,用于在维基页面中嵌入和显示图表或流程图。
Mediawiki - FlexDiagrams Extension存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
二、风险等级:
高
三、影响范围:
MediaWiki Mediawiki - FlexDiagrams Extension master
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://phabricator.wikimedia.org/T402149
2 GeoServer XML外部实体注入漏洞(CVE-2025-58360)
一、漏洞描述:
GeoServer是一款开源的服务器,用于共享和编辑地理空间数据。
该漏洞源于 /geoserver/wms 端点的 GetMap 操作在接收 XML 请求时未对外部实体引用进行充分限制。攻击者可以利用该漏洞,通过构造恶意的 XML 数据注入外部实体,从而读取服务器上的敏感信息或导致拒绝服务。
二、风险等级:
高
三、影响范围:
GeoServer V2.25.6之前版本
2.26.0 ≤ GeoServer ≤ 2.26.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/geoserver/geoserver/releases
3 Desktop Alert PingAlert权限提升漏洞(CVE-2025-54343)
一、漏洞描述:
Desktop Alert PingAlert是美国Desktop Alert公司开发的网络状态监控工具,主要用于实时监控网络设备状态并发送警报。
Desktop Alert PingAlert存在权限提升漏洞,该漏洞源于访问控制不当。
二、风险等级:
高
三、影响范围:
Desktop Alert PingAlert ≥6.1.0.11,≤6.1.1.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://desktopalert.net/CVE-2025-54343/
4 Mediawiki - AdvancedSearch Extension跨站脚本漏洞(CVE-2025-62662)
一、漏洞描述:
Mediawiki - AdvancedSearch Extension是MediaWiki的一个扩展插件,用于增强搜索功能,通常与CirrusSearch和Elastica配合使用,显著提升搜索效率和准确性。
MediaWiki - AdvancedSearch Extension存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
二、风险等级:
高
三、影响范围:
MediaWiki Mediawiki - AdvancedSearch Extension V1.39之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://phabricator.wikimedia.org/T402146
|
发表于 2025-12-1 10:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡