漏洞风险提示（20260119）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Xuxueli xxl-job授权绕过漏洞（CVE-2025-9264）
一、漏洞描述：
        
        XXL-JOB是xuxueli开发者的一个分布式任务调度平台。
        XXL-JOB 3.1.1及之前版本存在授权绕过漏洞，经过身份认证的攻击者可利用该漏洞提升权限，并在未经授权的情况下进行操作。
二、风险等级：
        高
三、影响范围：
        Xuxueli xxl-job ≤ 3.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://vuldb.com/?submit.631728

---

2 Tenda M3堆栈缓冲区溢出漏洞（CVE-2025-9299）
一、漏洞描述：
        
        Tenda M3是中国腾达（Tenda）公司的一款门禁控制器。
        Tenda M3 1.0.0.12版本存在堆栈缓冲区溢出漏洞，该漏洞源于此设备未对参数“Time”进行正确边界检查，远程攻击者可利用该漏洞进行拒绝服务攻击。
二、风险等级：
        高
三、影响范围：
        Tenda M3 1.0.0.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.tenda.com.cn/

---

3 IBM Concert跨站脚本漏洞（CVE-2025-36153）
一、漏洞描述：
        
        IBM Concert是美国国际商业机器（IBM）公司的一种新工具，使用生成式AI来帮助管理复杂的云原生应用程序。
        IBM Concert 1.0.0至2.0.0版本存在跨站脚本漏洞，攻击者可利用该漏洞在Web用户界面中嵌入任意JavaScript代码，从而改变预期功能，可能导致在受信任的会话中泄露用户凭证。
二、风险等级：
        高
三、影响范围：
        IBM Concert ≥ 1.0.0 ≤ 2.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7252019

---

4 Microsoft Azure Monitor权限提升漏洞（CVE-2025-62207）
一、漏洞描述：
        
        Azure Monitor是美国微软（Microsoft）公司的一种新式的可观测性工具，可以实现面向应用程序、基础结构和网络的端到端的监视功能。
        Azure Monitor存在权限提升漏洞，攻击者可利用该漏洞实施服务器端请求伪造攻击，获取普通用户权限。
二、风险等级：
        高
三、影响范围：
        Microsoft Azure Monitor
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-62207

---