免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Symfony授权决策中使用非规范 URL 路径漏洞(CVE-2025-64500 )
一、漏洞描述:
Symfony是Symfony公司的一个用于 Web 和控制台应用程序的 PHP 框架以及一组可重用的 PHP 组件。
Symfony 5.4.50之前版本、6.4.29之前版本和7.3.7之前版本存在授权决策中使用非规范 URL 路径漏洞,该漏洞源于PATH_INFO解析不当,攻击者可利用该漏洞进行绕过访问控制规则。
二、风险等级:
高
三、影响范围:
Symfony Symfony < 7.3.7
Symfony Symfony < 6.4.29
Symfony Symfony < 5.4.50
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/symfony/symfo ... GHSA-3rg7-wf37-54rm
2 Maxum Rumpus FTP Server跨站请求伪造漏洞(CVE-2025-55057)
一、漏洞描述:
Rumpus FTP Server是Maxum公司的一个FTP服务器软件。
Rumpus FTP Server 9.0.12版本存在跨站请求伪造漏洞,攻击者可利用该漏洞发起跨站请求伪造漏洞,导致信息泄漏。
二、风险等级:
高
三、影响范围:
Maxum Rumpus FTP Server 9.0.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.maxum.com/Rumpus/Download/
3 WordPress plugin WordPress Content Flipper跨站脚本漏洞(CVE-2025-11769 )
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能,WordPress plugin是一个应用插件。
WordPress plugin WordPress Content Flipper 0.1及之前版本存在跨站脚本漏洞,该漏洞源于对参数bgcolor的输入清理和输出转义不足,攻击者可利用该漏洞进行存储型跨站脚本攻击。
二、风险等级:
高
三、影响范围:
WordPress WordPress plugin WordPress Content Flipper <= 0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://plugins.trac.wordpress.o ... wp-flipper.php#L144
4 Maxum Rumpus FTP Server跨站脚本漏洞(CVE-2025-55056)
一、漏洞描述:
Rumpus FTP Server是Maxum公司的一个FTP服务器软件。
Rumpus FTP Server 9.0.12版本存在跨站脚本漏洞,该漏洞源于输入中和不当,攻击者可利用该漏洞发起跨站脚本攻击,导致任意代码执行。
二、风险等级:
高
三、影响范围:
Maxum Rumpus FTP Server 9.0.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.maxum.com/Rumpus/Download/
|
发表于 2026-2-2 09:42
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡