免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 EasyImages跨站脚本漏洞(CVE-2025-13415)
一、漏洞描述:
EasyImages是Jakub Cieslik个人开发者的一个PIL上的薄包装器,用于探索、可视化和共享图像。
EasyImages 2.8.6及之前版本存在跨站脚本漏洞,该漏洞源于SVG Image Handler组件中/app/upload.php文件未知功能异常,攻击者可利用该漏洞通过操控File参数触发跨站脚本攻击,导致任意代码执行。
二、风险等级:
高
三、影响范围:
Jakub Cieslik EasyImages ≤ 2.8.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/i008
2 OpenText UCMDB跨站脚本漏洞(CVE-2025-11884)
一、漏洞描述:
UCMDB是加拿大OpenText公司的一款软件,用于生成和维护信息技术项目的配置管理数据库。
UCMDB 24.4版本存在跨站脚本漏洞,该漏洞源于网页生成期间输入中和不当,攻击者可利用该漏洞发起跨站脚本攻击,导致任意代码执行。
二、风险等级:
高
三、影响范围:
OpenText UCMDB 24.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.microfocus.com/s/ ... 3674?language=en_US
3 OneCommander目录遍历漏洞(CVE-2025-63371)
一、漏洞描述:
OneCommander是Milos Paripovic个人开发者的一款文件管理器。
OneCommander 3.102.0.0版本存在目录遍历漏洞,该漏洞源于解压和处理ZIP压缩包内容的文件处理组件异常,攻击者可利用该漏洞发起目录遍历攻击,导致信息泄漏。
二、风险等级:
高
三、影响范围:
Milos Paripovic OneCommander 3.102.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.onecommander.com/
4 Google Golang拒绝服务漏洞(CVE-2025-58181)
一、漏洞描述:
Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言,Go的语法接近C语言,但对于变量的声明有所不同,Go支持垃圾回收功能,Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础,采取类似模型的其他语言包括Occam和Limbo,但它也具有Pi运算的特征,比如通道传输。
Golang 0.45.0之前版本存在拒绝服务漏洞,该漏洞源于SSH服务器在解析GSSAPI认证请求时,未验证请求中指定的机制数量,攻击者可利用该漏洞导致无限制的内存消耗,导致程序崩溃,拒绝服务。
二、风险等级:
高
三、影响范围:
Google Google Golang V0.45.0之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.google.com
|
发表于 2026-1-21 11:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡