上周关注度较高的产品安全漏洞(20250120-20250126)

一、境外厂商产品漏洞

1、Adobe InDesign越界读取漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞，攻击者可利用该漏洞导致敏感内存泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02143

2、IBM Db2拒绝服务漏洞

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2存在拒绝服务漏洞，攻击者可利用该漏洞导致服务器崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01792

3、WordPress插件Education LMS跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress插件Education LMS 0.0.7版本及之前版本存在跨站脚本漏洞，该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02007

4、Adobe Illustrator越界写入漏洞

Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Illustrator存在越界写入漏洞，该漏洞源于应用在处理不受信任的输入时出现边界错误。攻击者可利用该漏洞在当前用户的环境中执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02140

5、IBM Cognos Controller文件上传漏洞

IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Cognos Controller 11.0.1版本和11.0.0版本存在文件上传漏洞，该漏洞源于文件类型区分不足，经过身份验证的攻击者可利用此漏洞上传不安全的文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01790

二、境内厂商产品漏洞

1、北京亚控科技发展有限公司开发中心存在未授权访问漏洞

开发中心将全组态理念引入智能制造生产管控系统建设中来，旨在解决传统模式下智能制造MES系统开发周期长、成本高、门槛高等问题。北京亚控科技发展有限公司开发中心存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01105

2、WAVLINK AC3000 adm.cgi set_ledonoff函数命令注入漏洞

WAVLINK AC3000是中国睿因（WAVLINK）公司的一个无线路由器。WAVLINK AC3000 M33A8.V5030.210505版本存在命令注入漏洞，该漏洞源于adm.cgi set_ledonoff函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02001

3、新华三技术有限公司H3C智能管理中心存在文件上传漏洞