免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 React Server Components 拒绝服务漏洞(CVE-2025-55184)
一、漏洞描述:
React是一个用于构建用户界面的JavaScript库,由Facebook开发和维护。
攻击者可以通过恶意构造的HTTP请求,发送至React Server Function端点,导致反序列化过程中的无限循环,从而消耗大量CPU资源,造成服务不可用。
二、风险等级:
高
三、影响范围:
React Server DOM(webpack / parcel / turbopack)全部 19.x 版本(19.0.0–19.2.2)。
下游框架:Next.js ≤15.0.0、React Router 实验性 RSC、Expo、Redwood SDK(<1.0.0-alpha.0)、Waku 及 @vitejs/plugin-rsc。
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://zh-hans.react.dev/
2 Microsoft Exchange Server输入验证错误漏洞(CVE-2025-64666)
一、漏洞描述:
Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。
Microsoft Exchange Server存在安全漏洞。攻击者可利用该漏洞提升权限。
二、风险等级:
高
三、影响范围:
Microsoft Exchange Server
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2025-64666
3 Apache HTTP Server命令注入漏洞( CVE-2025-58098)
一、漏洞描述:
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。
Apache HTTP Server 2.4.66之前版本存在命令注入漏洞,该漏洞源于mod_cgid将shell转义的查询字符串传递给exec cmd指令,攻击者可利用该漏洞导致命令注入。
二、风险等级:
高
三、影响范围:
Apache HTTP Server V2.4.66之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://httpd.apache.org/download.cgi
4 Huawei HarmonyOS office service拒绝服务漏洞(CVE-2025-66332)
一、漏洞描述:
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
Huawei HarmonyOS office service存在拒绝服务漏洞,攻击者可利用该漏洞导致拒绝服务。
二、风险等级:
高
三、影响范围:
Huawei HarmonyOS 5.0.1
Huawei HarmonyOS 5.1.0
Huawei HarmonyOS 6.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://consumer.huawei.com/en/support/bulletin/2025/12/
|
发表于 2025-12-16 09:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡