漏洞风险提示（20251208）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Devolutions Server SQL注入漏洞（CVE-2025-13757）
一、漏洞描述：
        
        Devolutions Server是一款用于管理特权账户和会话的安全解决方案，旨在帮助企业集中存储和管理密码、凭据等敏感信息。
        Devolutions Server存在SQL注入漏洞，该漏洞源于使用日志中容易受到SQL注入攻击。
二、风险等级：
        高
三、影响范围：
        Devolutions Devolutions Server ≤2025.2.20
        Devolutions Devolutions Server ≤2025.3.8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://devolutions.net/security/advisories/DEVO-2025-0018/

---

2 ZOHO ManageEngine Analytics Plus SQL注入漏洞（CVE-2025-8324）
一、漏洞描述：
        
        ZOHO ManageEngine Analytics Plus是美国卓豪（ZOHO）公司的一种自助式IT分析解决方案。可使用丰富的可视化和仪表板更好地查看您的IT数据。
        ZOHO ManageEngine Analytics Plus存在SQL注入漏洞。攻击者可利用该漏洞查看、添加、修改或删除后端数据库中的信息。
二、风险等级：
        高
三、影响范围：
        Zohocorp ManageEngine Analytics Plus ≤6170
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.manageengine.com/analytics-plus/CVE-2025-8324.html

---

3 Microsoft Excel代码执行漏洞（CVE-2025-60727）
一、漏洞描述：
        
        Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。
        Microsoft Excel存在信息泄漏漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Excel 2016 / Office Online Server / Office 2019
        M365 Apps / Office LTSC 2021（Win＋Mac）
        Office LTSC 2024（Win＋Mac）
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://portal.msrc.microsoft.co ... sory/CVE-2025-60727

---

4 Microsoft Office代码执行漏洞（CVE-2025-62205）
一、漏洞描述：
        
        Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
        Microsoft Office存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Microsoft 365 Apps for Enterprise
        Microsoft Office LTSC 2021
        Microsoft Microsoft Office LTSC 2024
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://portal.msrc.microsoft.co ... sory/CVE-2025-62205

---