亚洲精品v日韩精品-国产妇女乱码一区二区三区-HD免费看片,大粗又爽又黄少妇毛片免费,亚洲国产精品伦理,韩国三级bd高清中文字幕下载

2025年03月17日-2025年03月23日

本周漏洞態(tài)勢研判情況

本周信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞273個，其中高危漏洞128個、中危漏洞123個、低危漏洞22個。漏洞平均分值為6.37。本周收錄的漏洞中，涉及0day漏洞176個（占64%），其中互聯(lián)網(wǎng)上出現(xiàn)“Hoosk title/Title參數(shù)跨站腳本漏洞、CodeAstro Internet Banking System跨站腳本漏洞（CNVD-2025-05224）”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業(yè)單位的漏洞總數(shù)8395個，與上周（9662個）環(huán)比減少13%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

本周漏洞事件處置情況

本周，CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件1起，向基礎電信企業(yè)通報漏洞事件6起，協(xié)調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件271起，協(xié)調教育行業(yè)應急組織驗證和處置高?？蒲性核到y(tǒng)漏洞事件25起，向國家上級信息安全協(xié)調機構上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件24起。

圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計

圖4 CNCERT各分中心處置情況按周統(tǒng)計

圖5 CNVD教育行業(yè)應急組織處置情況按周統(tǒng)計

此外，CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

紫光股份有限公司、珠海奔圖電子有限公司、中興通訊股份有限公司、中科方德軟件有限公司、智互聯(lián)（深圳）科技有限公司、浙江大華技術股份有限公司、云南度弘科技有限公司、昱能科技股份有限公司、漁翁信息技術股份有限公司、友訊電子設備（上海）有限公司、用友網(wǎng)絡科技股份有限公司、小米科技有限責任公司、襄陽智博珞格網(wǎng)絡科技有限公司、太極計算機股份有限公司、松立控股集團股份有限公司、四平市九州易通科技有限公司、深圳市億瑪信諾科技有限公司、深圳市思迅軟件股份有限公司、深圳市藍凌軟件股份有限公司、深圳市捷順科技實業(yè)股份有限公司、深圳市吉祥騰達科技有限公司、深圳勤杰軟件有限公司、深圳國威電子有限公司、深圳達實物聯(lián)網(wǎng)技術有限公司、上海卓卓網(wǎng)絡科技有限公司、上海新致軟件股份有限公司、上海三高計算機中心股份有限公司、上海電音馬蘭士電子有限公司、上海愛數(shù)信息技術股份有限公司、上海艾泰科技有限公司、山脈科技股份有限公司、山東中維世紀科技股份有限公司、廈門天銳科技股份有限公司、廈門納龍健康科技股份有限公司、廈門海西醫(yī)藥交易中心有限公司、三菱電機株式會社、瑞納智能設備股份有限公司、詮創(chuàng)科技有限公司、青島海信網(wǎng)絡科技股份有限公司、麒麟軟件有限公司、寧夏西云數(shù)據(jù)科技有限公司、南京科遠智慧科技集團股份有限公司、朗坤智慧科技股份有限公司、科強信息技術有限公司、柯尼卡美能達集團、晶睿通訊股份有限公司、江蘇匯文軟件有限公司、濟南卓源軟件有限公司、濟南馳騁信息技術有限公司、吉翁電子（深圳）有限公司、華平信息技術股份有限公司、鴻合科技股份有限公司、杭州博斯軟件開發(fā)有限公司、廣州圖創(chuàng)計算機軟件開發(fā)有限公司、廣州聚創(chuàng)網(wǎng)絡科技有限公司、高新興科技集團股份有限公司、阜陽點云網(wǎng)絡科技有限公司、福建新大陸通信科技股份有限公司、佛山市杜特軟件科技有限公司、東莞市同享軟件科技有限公司、成都同飛科技有限責任公司、成都朗速科技有限公司、成都鴻合愛課堂科技有限公司、暢捷通信息技術股份有限公司、北京億賽通科技發(fā)展有限責任公司、北京亞控科技發(fā)展有限公司、北京新網(wǎng)醫(yī)訊技術有限公司、北京問程教育科技有限公司、北京數(shù)字政通科技股份有限公司、北京神州視翰科技有限公司、北京三維天地科技股份有限公司、北京普照天星科技有限公司、北京金和網(wǎng)絡股份有限公司、北京鋒脈智軟科技有限公司、北京東方通科技股份有限公司、北京寶蘭德軟件股份有限公司、北京百卓網(wǎng)絡技術有限公司和安科瑞電氣股份有限公司。

本周漏洞報送情況統(tǒng)計

本周漏洞按類型和廠商統(tǒng)計

本周，CNVD收錄了273個漏洞。WEB應用119個，應用程序65個，網(wǎng)絡設備（交換機、路由器等網(wǎng)絡端設備）41個，智能設備（物聯(lián)網(wǎng)終端設備）22個，操作系統(tǒng)20個，數(shù)據(jù)庫5個，安全產(chǎn)品1個。

圖6 本周漏洞按影響類型分布

本周行業(yè)漏洞收錄情況

本周，CNVD收錄了21個電信行業(yè)漏洞，4個移動互聯(lián)網(wǎng)行業(yè)漏洞，4個工控行業(yè)漏洞（如下圖所示）。其中，“Google Android權限提升漏洞（CNVD-2025-05218）、Rockwell Automation ｓｅｌｅｃｔ 1756-EN*緩沖區(qū)溢出漏洞”等漏洞的綜合評級為“高?！?。相關廠商已經(jīng)發(fā)布了漏洞的修補程序，請參照CNVD相關行業(yè)漏洞庫鏈接。

工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

圖7 電信行業(yè)漏洞統(tǒng)計

圖8 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計

圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計

本周重要漏洞安全告警

1、IBM產(chǎn)品安全漏洞

IBM Concert是美國國際商業(yè)機器（IBM）公司的一種新工具。使用生成式AI幫助管理復雜的云原生應用程序。IBM Control Center是美國國際商業(yè)機器（IBM）公司的一個集中式監(jiān)控和管理系統(tǒng)。IBM EntireX是IBM開發(fā)的跨平臺應用集成中間件，支持異構系統(tǒng)間數(shù)據(jù)通信與事務處理。IBM MQ是美國國際商業(yè)機器（IBM）公司的一款消息傳遞中間件產(chǎn)品。該產(chǎn)品主要為面向服務的體系結構（SOA）提供可靠的、經(jīng)過驗證的消息傳遞主干網(wǎng)。IBM FlashSystem是美國國際商業(yè)機器（IBM）公司的一系列高性能全閃存和混合閃存存儲解決方案。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞暴力破解賬戶憑據(jù)，通過特制URL請求來查看系統(tǒng)上的任意文件，導致拒絕服務，執(zhí)行任意Java代碼等。

CNVD收錄的相關漏洞包括：IBM Concert暴力破解漏洞、IBM Control Center跨站腳本漏洞、IBM EntireX路徑遍歷漏洞、IBM EntireX拒絕服務漏洞、IBM MQ代碼問題漏洞、IBM FlashSystem代碼執(zhí)行漏洞、IBM MQ拒絕服務漏洞（CNVD-2025-05564）、IBM MQ代碼執(zhí)行漏洞（CNVD-2025-05563）。其中，“IBM Concert暴力破解漏洞、IBM FlashSystem代碼執(zhí)行漏洞、IBM MQ代碼執(zhí)行漏洞（CNVD-2025-05563）”漏洞的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05214

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05215

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05217

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05216

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05389

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05388

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05564

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05563

2、Google產(chǎn)品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Chrome是一款由Google公司開發(fā)的WEB瀏覽器。Google Pixel Watch是美國谷歌（Google）公司的一款持久耐用的智能手表。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，提交特殊的Web請求，誘使用戶解析，可以在應用程序上下文執(zhí)行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2025-05219、CNVD-2025-05218、CNVD-2025-05221、CNVD-2025-05220）、Google Chrome V8代碼執(zhí)行漏洞（CNVD-2025-05222）、Google Chrome緩沖區(qū)溢出漏洞（CNVD-2025-05393、CNVD-2025-05392）、Google Pixel Watch整數(shù)溢出漏洞。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05219

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05218

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05222

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05221

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05220

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05393

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05392

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05391

3、Adobe產(chǎn)品安全漏洞

Adobe Substance 3D Designer是美國奧多比（Adobe）公司的一款3D設計軟件。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執(zhí)行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Designer堆緩沖區(qū)溢出漏洞（CNVD-2025-05199、CNVD-2025-05204、CNVD-2025-05207）、Adobe Substance 3D Designer越界寫入漏洞（CNVD-2025-05201、CNVD-2025-05200、CNVD-2025-05202、CNVD-2025-05208）、Adobe Substance 3D Designer內存錯誤引用漏洞（CNVD-2025-05206）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05199

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05201

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05200

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05202

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05204

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05206

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05208

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05207

4、Microsoft產(chǎn)品安全漏洞

Microsoft Office是美國微軟（Microsoft）公司的一款辦公軟件套件產(chǎn)品。該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Windows Hyper-V是美國微軟（Microsoft）公司的一款可提供硬件虛擬化的工具。Microsoft Internet Explorer（IE）是美國微軟（Microsoft）公司的一款Windows操作系統(tǒng)附帶的Web瀏覽器。Microsoft Access是美國微軟（Microsoft）公司Office套件中的一套關系數(shù)據(jù)庫管理系統(tǒng)。Microsoft Visual Studio是美國微軟（Microsoft）公司的一款開發(fā)工具套件系列產(chǎn)品，也是一個基本完整的開發(fā)工具集，它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Azure是美國微軟（Microsoft）公司的一套開放的企業(yè)級云計算平臺。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞在系統(tǒng)上獲取提升的權限，執(zhí)行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Office權限提升漏洞（CNVD-2025-05234）、Microsoft Windows Hyper-V NT Kernel Integration VSP權限提升漏洞（CNVD-2025-05240、CNVD-2025-05239）、Microsoft Internet Explorer代碼執(zhí)行漏洞、Microsoft Office代碼執(zhí)行漏洞（CNVD-2025-05243）、Microsoft Access代碼執(zhí)行漏洞（CNVD-2025-05244）、Microsoft Visual Studio權限提升漏洞（CNVD-2025-05245）、Microsoft Azure Arc Installer權限提升漏洞。其中，除“Microsoft Office權限提升漏洞（CNVD-2025-05234）、Microsoft Visual Studio權限提升漏洞（CNVD-2025-05245）、Microsoft Azure Arc Installer權限提升漏洞”外，其余漏洞的綜合評級為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關的網(wǎng)絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05234

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05239

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05240

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05241

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05243

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05244

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05245

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05560

5、Tenda AC8緩沖區(qū)溢出漏洞（CNVD-2025-05398）

Tenda AC8是中國騰達（Tenda）公司的一款無線路由器。本周，Tenda AC8被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞損壞內存并可能造成瀏覽器崩潰。目前，廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05398

小結：本周，IBM產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞暴力破解賬戶憑據(jù)，通過特制URL請求來查看系統(tǒng)上的任意文件，導致拒絕服務，執(zhí)行任意Java代碼。此外，Google、Adobe、Microsoft等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，提交特殊的Web請求，誘使用戶解析，可以在應用程序上下文執(zhí)行任意代碼等。另外，Tenda AC8被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞損壞內存并可能造成瀏覽器崩潰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

本周，CNVD建議注意防范以下已公開漏洞攻擊驗證情況。

驗證描述

Hoosk是一個輕量級的內容管理系統(tǒng)。

Hoosk 1.8版本存在跨站腳本漏洞，該漏洞源于Link title和Title參數(shù)對用戶提供的數(shù)據(jù)缺乏有效過濾與轉義，攻擊者可利用該漏洞通過注入精心設計的有效載荷執(zhí)行任意Web腳本或HTML。

驗證信息

POC鏈接：

https://github.com/havok89/Hoosk/issues/67

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05225

信息提供者