正文

上周关注度较高的产品安全漏洞(20251013-20251019)

admin
admin V管理员 /0 评论 /9 阅读
1021
文章最后更新时间2025年10月21日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Dell VxRail明文存储密码漏洞

Dell VxRail是戴尔科技与VMware联合设计的超融合基础设施(HCI)解决方案,专为VMware工作负载优化,可满足虚拟化应用、云计算和混合云管理需求。Dell VxRail存在明文存储密码漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23479

2、Mattermost信息泄露漏洞(CNVD-2025-23573)

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23573

3、WordPress插件AR For WordPress跨站请求伪造漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件AR For WordPress存在跨站请求伪造漏洞,攻击者可利用该漏洞导致上传Web Shell到Web服务器。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23463

4、DELL BSAFE Crypto-J信息泄露漏洞

DELL BSAFE Crypto-J是戴尔公司开发的加密工具包,主要用于帮助开发人员为应用程序添加隐私和身份验证功能。DELL BSAFE Crypto-J存在信息泄露漏洞,该漏洞源于错误消息包含敏感环境信息,攻击者可利用该漏洞导致信息泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23474

5、QNAP Qsync Central拒绝服务漏洞

QNAP Qsync Central是威联通(QNAP)推出的私有云同步服务,主要用于实现设备间的文件实时同步与备份。QNAP Qsync Central存在拒绝服务漏洞,该漏洞源于资源消耗不受控制,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23621

二、境内厂商产品漏洞

1、D-Link DIR-823X命令执行漏洞

D-Link DIR-823X是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-823X存在命令执行漏洞,该漏洞是由于set_cassword设置界面未过滤http_casswd参数中的特殊字符,攻击者可利用该漏洞导致代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23466

2、Huawei PCs身份验证绕过漏洞

Huawei PCs是中国华为(Huawei)公司的一系列电脑。Huawei PCs存在身份验证绕过漏洞,该漏洞源于低权限用户可以绕过SDDL权限检查,攻击者可利用该漏洞导致某些系统进程终止。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23595

3、D-Link DIR-823X命令注入漏洞(CNVD-2025-23467)

D-Link DIR-823X是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-823X存在命令注入漏洞,该漏洞是有对文件/goform/set_switch_settings中函数sub_412E7C的参数port的错误操作,攻击者可利用该漏洞导致远程命令注入攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23467

4、Huawei EnzoH操作系统命令注入漏洞(CNVD-2025-23594)

Huawei EnzoH是中国华为(Huawei)公司的一款无线接入设备。Huawei EnzoH存在操作系统命令注入漏洞,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23594

5、D-Link DIR-823X命令注入漏洞(CNVD-2025-23471)

D-Link DIR-823X是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-823X存在命令注入漏洞,该漏洞是由于goform/set_stic_leases文件的sub_415028函数中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-23471

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网