2025年CNVD漏洞周报4期（2025年01月20日-2025年01月26日）-数字化校园建设规划处

安全周报

2025年CNVD漏洞周报4期（2025年01月20日-2025年01月26日）

发布者：发布时间：2025-01-28 浏览次数：

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞304个，其中高危漏洞127个、中危漏洞154个、低危漏洞23个。漏洞平均分值为6.64。本周收录的漏洞中，涉及0day漏洞111个（占37%），其中互联网上出现“Tenda FH1206 fromGstDhcpSetSer函数缓冲区溢出漏洞、D-Link DAR-7000-40命令执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数6125个，与上周（20278个）环比减少70%。

图1 CNVD收录漏洞近10周平均分值分布图

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件3起，向基础电信企业通报漏洞事件2起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件297起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件33起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件16起。

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

珠海金山办公软件有限公司、中通云仓科技有限公司、中控技术股份有限公司、智互联（深圳）科技有限公司、浙江中控技术股份有限公司、浙江大华技术股份有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、兄弟（中国）商业有限公司、信呼、新开普电子股份有限公司、新晨科技股份有限公司、无锡路通视信网络股份有限公司、万洲电气股份有限公司、统信软件技术有限公司、同望科技股份有限公司、腾讯安全应急响应中心、四川锐狐网络科技有限公司、施耐德电气（中国）有限公司、深圳市卓越迈创企业形象设计有限公司、深圳市亚略特科技股份有限公司、深圳市信锐网科技术有限公司、深圳市蓝凌软件股份有限公司、深圳市吉祥腾达科技有限公司、深圳国威电子有限公司、上海悠络客电子科技股份有限公司、上海斐讯数据通信技术有限公司、熵基科技股份有限公司、厦门海迈科技股份有限公司、三星（中国）投资有限公司、三菱电机株式会社、青岛海威茨仪表有限公司、青岛东胜伟业软件科技有限公司、理光（中国）投资有限公司、金蝶软件（中国）有限公司、佳能（中国）有限公司、吉翁电子（深圳）有限公司、惠州市乐亿通科技股份有限公司、惠普贸易（上海）有限公司、河南讯丰信息技术有限公司、汉王科技股份有限公司、海汉塔网络科技有限公司、国泰新点软件股份有限公司、贵州觅新科技有限公司、广州同鑫科技有限公司、广州市保伦电子有限公司、广东飞讯工业互联网有限公司、富士胶片商业创新（中国）有限公司、福昕鲲鹏（北京）信息科技有限公司、东方网力科技股份有限公司、德州仪器（上海）有限公司、畅捷通信息技术股份有限公司、北京卓软在线信息技术有限公司、北京致远互联软件股份有限公司、北京盈泰财富云电子商务有限公司、北京银河伟业数字技术有限公司、北京星网锐捷网络技术有限公司、北京天融信网络安全技术有限公司、北京百度网讯科技有限公司、爱普生（中国）有限公司和艾利贝斯软件科技发展（北京）有限公司。

本周，CNVD发布了《Oracle发布2025年1月的安全公告》，详情参见CNVD网站公告内容（https://www.cnvd.org.cn/webinfo/show/10871）。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京启明星辰信息安全技术有限公司、新华三技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。北京纽盾网安信息技术有限公司、北京山石网科信息技术有限公司、江苏保旺达软件技术有限公司、苏州棱镜七彩信息科技有限公司、北京翰慧投资咨询有限公司、贵州多彩网安科技有限公司、北京众安天下科技有限公司、北京天下信安技术有限公司、北京安帝科技有限公司、上海观安信息技术股份有限公司、江苏云天网络安全技术有限公司、山东新潮信息技术有限公司、江苏君立华域信息安全技术股份有限公司、杭州海康威视数字技术股份有限公司、南方电网科学研究院有限责任公司、天翼数字生活科技有限公司、亚信科技（成都）有限公司、河南东方云盾信息技术有限公司、成都久信信息技术股份有限公司、江苏正信信息安全测试有限公司、山西护网信息科技有限公司、四川汉安数智科技有限公司、江苏百达智慧网络科技有限公司（含光实验室）、中孚安全技术有限公司、淮安易云科技有限公司、江苏力可信网络科技有限公司（技术服务部）、江苏省公用信息有限公司及其他个人白帽子向CNVD提交了6125个以事件型漏洞为主的原创漏洞，其中包括斗象科技（漏洞盒子）、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送5249条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人	漏洞报送数量	原创漏洞数量
斗象科技（漏洞盒子）	3845	3845
三六零数字安全科技集团有限公司	1256	1256
北京启明星辰信息安全技术有限公司	1172	0
新华三技术有限公司	824	0
深信服科技股份有限公司	580	17
北京神州绿盟科技有限公司	502	1
安天科技集团股份有限公司	274	0
阿里云计算有限公司	174	9
京东科技信息技术有限公司	171	0
上海交大	148	148
北京知道创宇信息技术有限公司	133	0
北京安信天行科技有限公司	76	76
北京天融信网络安全技术有限公司	74	8
杭州美创科技股份有限公司	31	31
杭州安恒信息技术股份有限公司	29	0
杭州迪普科技股份有限公司	17	0
远江盛邦（北京）网络安全科技股份有限公司	6	6
北京长亭科技有限公司	6	0
北京智游网安科技有限公司	3	3
快页信息技术有限公司	2	2
浪潮电子信息产业股份有限公司	2	2
恒安嘉新（北京）科技股份公司	1	1
北京纽盾网安信息技术有限公司	18	18
北京山石网科信息技术有限公司	13	13
江苏保旺达软件技术有限公司	11	11
苏州棱镜七彩信息科技有限公司	10	10
北京翰慧投资咨询有限公司	9	9
贵州多彩网安科技有限公司	9	9
北京众安天下科技有限公司	9	9
北京天下信安技术有限公司	6	6
北京安帝科技有限公司	5	5
上海观安信息技术股份有限公司	5	5
江苏云天网络安全技术有限公司	5	5
山东新潮信息技术有限公司	4	4
江苏君立华域信息安全技术股份有限公司	4	4
杭州海康威视数字技术股份有限公司	3	3
南方电网科学研究院有限责任公司	3	3
天翼数字生活科技有限公司	2	2
亚信科技（成都）有限公司	2	2
河南东方云盾信息技术有限公司	1	1
成都久信信息技术股份有限公司	1	1
江苏正信信息安全测试有限公司	1	1
山西护网信息科技有限公司	1	1
四川汉安数智科技有限公司	1	1
江苏百达智慧网络科技有限公司（含光实验室）	1	1
中孚安全技术有限公司	1	1
淮安易云科技有限公司	1	1
江苏力可信网络科技有限公司（技术服务部）	1	1
江苏省公用信息有限公司	1	1
CNCERT内蒙古分中心	3	3
CNCERT河北分中心	1	1
个人	588	588
报送总计	10046	6125

本周漏洞按类型和厂商统计

本周，CNVD收录了304个漏洞。网络设备（交换机、路由器等网络端设备）88个，WEB应用82个，应用程序51个，数据库38个，操作系统38个，安全产品5个，智能设备（物联网终端设备）2个。

表2 漏洞按影响类型统计表

漏洞影响对象类型	漏洞数量
网络设备（交换机、路由器等网络端设备）	88
WEB应用	82
应用程序	51
数据库	38
操作系统	38
安全产品	5
智能设备（物联网终端设备）	2

图2 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Adobe、Oracle、WAVLINK等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号	厂商（产品）	漏洞数量	所占比例
1	Adobe	33	11%
2	Oracle	32	10%
3	WAVLINK	26	9%
4	Huawei	23	8%
5	WordPress	20	6%
6	IBM	15	5%
7	TOTOLINK	14	5%
8	Delta Electronics	13	4%
9	D-Link	11	4%
10	其他	117	38%

本周行业漏洞收录情况

本周，CNVD收录了54个电信行业漏洞，15个移动互联网行业漏洞，10个工控行业漏洞（如下图所示）。其中，“TOTOLINK A810R命令注入漏洞（CNVD-2025-02379）、WAVLINK AC3000 adm.cgi set_TR069函数命令注入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Substance 3D Designer是美国奥多比（Adobe）公司的一款3D设计软件。Adobe Media Encoder是美国奥多比（Adobe）公司的一款音。视频编码应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Substance 3D Designer堆缓冲区溢出漏洞（CNVD-2025-02090、CNVD-2025-02091）、Adobe Substance 3D Stager堆栈缓冲区溢出漏洞（CNVD-2025-02094）、Adobe Substance 3D Designer越界写入漏洞（CNVD-2025-02092、CNVD-2025-02093）、Adobe Substance 3D Stager越界写入漏洞、Adobe Media Encoder越界写入漏洞（CNVD-2025-02147、CNVD-2025-02148）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02090

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02094

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02091

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02092

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02093

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02095

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02147

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02148

2、IBM产品安全漏洞

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制。创建和管理财务报告等功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传不安全的文件，导致拒绝服务。

CNVD收录的相关漏洞包括：IBM Db2拒绝服务漏洞（CNVD-2025-01783、CNVD-2025-01785、CNVD-2025-01784、CNVD-2025-01792、CNVD-2025-01793）、IBM Cognos Controller信息泄露漏洞（CNVD-2025-01787、CNVD-2025-01791）、IBM Cognos Controller文件上传漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01783

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01785

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01784

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01787

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01791

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01790

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01792

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01793

3、Delta Electronics产品安全漏洞

Delta Electronics DIAScreen是中国台湾台达电子（Delta Electronics）公司的一个智能机台建置软件。Delta Electronics DIAEnergie是中国台湾台达电子（Delta Electronics）公司推出的的一款推出的一款工业能源管理系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Delta Electronics DIAScreen DPA文件解析栈缓冲区溢出漏洞（CNVD-2025-01799）、Delta Electronics DIAScreen DPA文件解析堆栈缓冲区溢出漏洞、Delta Electronics DIAEnergie AM_RegReport.aspx SQL注入漏洞、Delta Electronics DIAEnergie Handler_CFG.ashx SQL注入漏洞、Delta Electronics DIAEnergie拒绝服务漏洞、Delta Electronics DIAScreen堆栈缓冲区漏洞、Delta Electronics DIAEnergie路径遍历漏洞、Delta Electronics DIAEnergie GetDIACloudList SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01799

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01798

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01801

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01800

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01803

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01802

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01806

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01805

4、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，导致越界读取等。

CNVD收录的相关漏洞包括：Google Android wbrc_bt_dev_write函数越界写入漏洞、Google Android prepare_response_locked函数输入验证错误漏洞、Google Android GetCellInfoList函数越界读取漏洞、Google Android DevmemValidateFlags函数越界写入漏洞、Google Android cc_SendCcImsInfoIndMsg函数越界写入漏洞、Google Android setSkipPrompt方法权限提升漏洞、Google Android resizeToAtLeast权限提升漏洞、Google Android skia_alloc_func越界写漏洞。其中，“Google Android cc_SendCcImsInfoIndMsg函数越界写入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01823

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01822

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01821

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01820

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01819

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01828

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01827

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01826

5、 D-Link DI-8003 ip_position.asp函数缓冲区溢出漏洞

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。本周，D-Link DI-8003被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-01811

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接：http://www.cnvd.org.cn/flaw/list

表4 部分重要高危漏洞列表

CNVD编号	漏洞名称	综合评级	修复方式
CNVD-2025-01808	Delta Electronics DIAEnergie GetDIAE_usList SQL注入漏洞	高	用户可参考如下厂商提供的安全补丁以修复该漏洞： https://www.deltaww.com/en/customerService
CNVD-2025-01807	Delta Electronics DIAEnergie DIAE_tagHandler. ashx脚本SQL注入漏洞	高	用户可参考如下厂商提供的安全补丁以修复该漏洞： https://www.deltaww.com/en/customerService
CNVD-2025-01813	TOTOLINK A6000R enable_wsh命令注入漏洞	高	用户可参考如下厂商提供的安全补丁以修复该漏洞： https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/202/ids/36.html
CNVD-2025-01831	Adobe After Effects缓冲区溢出漏洞（CNVD-2025-01831）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://helpx.adobe.com/security/products/after_effects/apsb24-95.html
CNVD-2025-02000	WAVLINK AC3000 adm.cgi sch_reboot函数的restart_min参数命令注入漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.wavlink.com/en_us/product/WL-WN533A8.html
CNVD-2025-01998	WAVLINK AC3000 adm.cgi rep_as_bridge函数缓冲区溢出漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.wavlink.com/en_us/product/WL-WN533A8.html
CNVD-2025-02003	WAVLINK AC3000 adm.cgi set_sys_adm函数缓冲区溢出漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.wavlink.com/en_us/product/WL-WN533A8.html
CNVD-2025-02002	WAVLINK AC3000 adm.cgi set_MeshAp函数命令注入漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://www.wavlink.com/en_us/product/WL-WN533A8.html
CNVD-2025-02004	WordPress插件WPMU Prefill Post SQL注入漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://wordpress.org/plugins/wpmu-prefill-post/
CNVD-2025-02005	WordPress插件DynamicTags SQL注入漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://wordpress.org/plugins/dynamictags/

小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，IBM、Delta Electronics、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传不安全的文件，提升权限，执行任意代码，导致拒绝服务等。另外，D-Link DI-8003被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

上一篇： 2025年CNVD漏洞周报5期（2025年01月27日-2025年02月09日）

下一篇： 2025年CNVD漏洞周报3期（2025年01月13日-2025年01月19日）