漏洞风险提示（20260203）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Maxum Rumpus FTP Server输入验证错误漏洞（CVE-2025-55058）
一、漏洞描述：
        
        Rumpus FTP Server是Maxum公司的一个FTP服务器软件。
        Rumpus FTP Server 9.0.12版本存在输入验证错误漏洞，该漏洞源于输入验证不当，攻击者可利用该漏洞导致信息泄漏。
二、风险等级：
        高
三、影响范围：
        Maxum Rumpus FTP Server 9.0.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.maxum.com/Rumpus/Download/

---

2 Maxum Rumpus FTP Server跨站脚本漏洞（CVE-2025-55059）
一、漏洞描述：
        
        Rumpus FTP Server是Maxum公司的一个FTP服务器软件。
        Rumpus FTP Server 9.0.12版本存在跨站脚本漏洞，该漏洞源于输入中和不当，攻击者可利用该漏洞发起跨站脚本攻击，导致任意代码执行。
二、风险等级：
        高
三、影响范围：
        Maxum Rumpus FTP Server 9.0.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.maxum.com/Rumpus/Download/

---

3 DuckDB损坏或风险加密算法使用漏洞（CVE-2025-64429 ）
一、漏洞描述：
        
        DuckDB是DuckDB开源的一个进程内 SQL OLAP 数据库管理系统。
        DuckDB 1.4.0版本至1.4.2之前版本存在损坏或风险加密算法使用漏洞，该漏洞源于加密实现问题，攻击者可利用该漏洞进行密钥泄露或绕过完整性检查。
二、风险等级：
        高
三、影响范围：
        DuckDB DuckDB ≥ 1.4.0≤ 1.4.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://duckdb.org/2025/09/16/announcing-duckdb-140.html

---

4 Imagination Graphics DDK越界读写漏洞（CVE-2025-58407）
一、漏洞描述：
        
        Graphics DDK是英国Imagination公司的一款GPU驱动工具套件。
        Graphics DDK 25.2版本存在越界读写漏洞，该漏洞源于TOCTOU检查时间与使用时间竞态条件错误，攻击者可利用该漏洞向GPU固件提交非法命令，触发对分配内存之外数据的读取和/或写入，从而实现虚拟机逃逸。
二、风险等级：
        高
三、影响范围：
        Imagination Graphics DDK 25.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.imaginationtech.com/gpu-driver-vulnerabilities/

---