漏洞风险提示（20251205）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress StreamTube Core plugin任意用户密码更改漏洞（CVE-2025-13615）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress plugin是一个应用插件。
        WordPress StreamTube Core plugin存在任意用户密码更改漏洞，该漏洞源于提供用户控制的对象访问，允许用户绕过授权并访问系统资源。攻击者可利用该漏洞导致任意用户密码更改和账户接管。
二、风险等级：
        高
三、影响范围：
        WordPress StreamTube Core plugin ≤4.78
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.wordfence.com/threat ... a6a2ada1?source=cve

---

2 ZEIT Next.js远程代码执行漏洞（CVE-2025-66478）
一、漏洞描述：
        
        Next.js是一个用于构建全栈Web应用程序的React框架。
        ZEIT Next.js存在远程代码执行漏洞，该漏洞源于Next.js 15.x和16.x版本在使用App Router时，依赖了存在缺陷的React服务端DOM包，攻击者可利用该漏洞注入恶意代码远程执行命令。
二、风险等级：
        高
三、影响范围：
        ZEIT Next.js ≥15.0.0，≤15.0.4
        ZEIT Next.js ≥15.1.0，≤15.1.8
        ZEIT Next.js ≥15.2.*，≤15.5.6
        ZEIT Next.js ≥16.0.0，≤16.0.6
        ZEIT Next.js ≥14.3.0，≤canary.77及以上Canary版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://react.dev/blog/2025/12/0 ... t-server-components

---

3 Microsoft Application Gateway权限提升漏洞（CVE-2025-64656）
一、漏洞描述：
        
        Microsoft Application Gateway是美国Microsoft公司的一个应用程序网关。
        Microsoft Application Gateway存在权限提升漏洞，攻击者可利用该漏洞提升权限。
二、风险等级：
        高
三、影响范围：
        Microsoft Microsoft Application Gateway
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-64656

---

4 Linksys E1200堆栈缓冲区溢出漏洞（CVE-2025-60690）
一、漏洞描述：
        
        Linksys E1200是美国Linksys公司的一款路由器。
        Linksys E1200存在堆栈缓冲区溢出漏洞，攻击者可利用该漏洞导致执行任意代码或拒绝服务。
二、风险等级：
        高
三、影响范围：
        Linksys E1200 E1200_v2.0.11.001_us.tar.gz
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://linksys.com

---