上周关注度较高的产品安全漏洞(20250428-20250511)

一、境外厂商产品漏洞

1、Esri ArcGIS Enterprise信息泄露漏洞

Esri ArcGIS Enterprise是美国环境系统研究所（Esri）公司的一套GIS（地理信息系统）的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞，该漏洞源于程序对敏感信息保护不足，攻击者可利用该漏洞提交精心设计的查询导致信息泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08815

2、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08609）

Siemens TeleControl Server Basic是德国西门子（Siemens）公司的一个工业远程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，该漏洞源于内部方法GetUsers存在SQL注入，攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08609

3、Dell PowerScale OneFS信息泄露漏洞

Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。Dell PowerScale OneFS存在信息泄露漏洞，该漏洞源于在日志文件中插入敏感信息。攻击者可利用该漏洞获取敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08804

4、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08608）

Siemens TeleControl Server Basic是德国西门子（Siemens）公司的一个工业远程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，该漏洞源于内部方法LockUser存在SQL注入，攻击者可利用该漏洞导致绕过授权控制和执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08608

5、Adobe XMP Toolkit缓冲区溢出漏洞（CNVD-2025-08786）

Adobe XMP Toolkit是美国奥多比（Adobe）公司的一个工具包。用于将Xmp功能集成到产品或解决方案中。Adobe XMP Toolkit存在缓冲区溢出漏洞，该漏洞源于越界读取，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08786

二、境内厂商产品漏洞

1、用友网络科技股份有限公司用友BIP存在SQL注入漏洞

用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。用友网络科技股份有限公司用友BIP存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08697

2、新华三技术有限公司NX15存在二进制漏洞

新华三技术有限公司是一家全球领先的数字化解决方案领导者。新华三技术有限公司NX15存在二进制漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08974

3、厦门科拓通讯技术股份有限公司车场服务器管理面板存在命令执行漏洞

厦门科拓通讯技术股份有限公司是一家专业的智慧停车解决方案提供商，专注于智慧停车行业多年。厦门科拓通讯技术股份有限公司车场服务器管理面板存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08450

4、四川迅睿云软件开发有限公司迅睿CMS存在SQL注入漏洞

迅睿CMS是一款基于CodeIgniter4开发的内容管理框架，主要用于网站建设和内容管理。‌四川迅睿云软件开发有限公司迅睿CMS存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。