免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 PHPGurukul Online Course Registration SQL注入漏洞(CVE-2025-9307)
一、漏洞描述:
PHPGurukul Online Course Registration是PHPGurukul公司的一个在线课程注册系统。
PHPGurukul Online Course Registration 3.1版本存在SQL注入漏洞,该漏洞源于此系统未对“sesssion”参数的用户输入进行正确验证,远程攻击者可利用该漏洞注入恶意SQL查询,从而在未经授权的情况下访问数据库、修改或删除数据,并获取敏感信息。
二、风险等级:
高
三、影响范围:
PHPGurukul Online Course Registration 3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://phpgurukul.com/
2 yarnpkg Yarn不受控制的资源消耗漏洞(CVE-2025-9308)
一、漏洞描述:
Yarn是yarnpkg开源的一款开源的软件包安装、管理工具。
Yarn 1.22.22及之前版本存在不受控制的资源消耗漏洞,攻击者可利用该漏洞对系统进行拒绝服务攻击。
二、风险等级:
高
三、影响范围:
yarnpkg Yarn ≤ 1.22.22
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/yarnpkg/berry/releases
3 Opto 22 groov RIO操作系统命令注入漏洞(CVE-2025-13087)
一、漏洞描述:
GRV-EPIC是美国Opto 22公司的一款嵌入式 Linux®实时控制器,groov RIO是美国Opto 22公司的一个工业型远程I/O模块。
GRV-EPIC和groov RIO存在操作系统命令注入漏洞,该漏洞源于Opto22 Groov Manage REST API功能异常,当向该端点发送POST请求时,应用程序会读取特定的头部信息,并不安全地使用这些值来构建系统命令,拥有管理员权限的攻击者可利用该漏洞注入任意命令,并以root权限执行这些命令。
二、风险等级:
高
三、影响范围:
OPTO 22 GRV-EPIC
OPTO 22 groov RIO
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.opto22.com/support/r ... owledgebase/kb91326
4 CodeAstro Ecommerce Website跨站脚本漏洞(CVE-2025-9237)
一、漏洞描述:
CodeAstro Ecommerce Website是CodeAstro公司的一个电子商务网站。
CodeAstro Ecommerce Website 1.0版本存在跨站脚本漏洞,攻击者可利用该漏洞注入并执行任意JavaScript代码,从而导致会话劫持、账户接管或其他恶意行为。
二、风险等级:
高
三、影响范围:
CodeAstro Ecommerce Website 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://codeastro.com/
|
发表于 2026-1-19 10:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡