本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞310个,其中高危漏洞133个、中危漏洞170个、低危漏洞7个。漏洞平均分值为6.45。本周收录的漏洞中,涉及0day漏洞204个(占66%),其中互联网上出现“Mysiteforme SQL注入漏洞、Student Grading System SQL注入漏洞(CNVD-2025-03172)”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数3270个,与上周(1092个)环比增加199%。
本周漏洞事件处置情况
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件3起,向基础电信企业通报漏洞事件3起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件287起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件25起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件7起。
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
智互联(深圳)科技有限公司、浙江省环境科技股份有限公司、浙江禾川科技股份有限公司、用友网络科技股份有限公司、兄弟(中国)商业有限公司、新天科技股份有限公司、网件(北京)网络技术有限公司、万洲电气股份有限公司、同望科技股份有限公司、天闻数媒科技(北京)有限公司、天津天堰科技股份有限公司、腾讯安全应急响应中心、思通数科(南京)信息技术有限公司、深圳市亿玛信诺科技有限公司、深圳市万网博通科技有限公司、深圳市思迅软件股份有限公司、深圳市吉祥腾达科技有限公司、深圳市虹安信息技术有限公司、深圳国威电子有限公司、深圳邦健生物医疗设备股份有限公司、上海上讯信息技术股份有限公司、上海正品贵德软件有限公司、上海玄霆娱乐信息科技有限公司、上海识致信息科技有限责任公司、上海商派网络科技有限公司、上海灵当信息科技有限公司、上海肯特仪表股份有限公司、上海博达数据通信有限公司、熵基科技股份有限公司、山石网科通信技术股份有限公司、厦门天锐科技股份有限公司、厦门四信通信科技有限公司、三星(中国)投资有限公司、青岛海信网络科技股份有限公司、迈普通信技术股份有限公司、理光(中国)投资有限公司、竞优(广州)信息技术有限公司、吉翁电子(深圳)有限公司、惠普贸易(上海)有限公司、湖南华美信息系统有限公司、湖南创星科技股份有限公司、杭州叙简科技股份有限公司、杭州上树科技有限公司、杭州炬华科技股份有限公司、汉王科技股份有限公司、哈尔滨伟成科技有限公司、广州中海达卫星导航技术股份有限公司、广州红帆科技有限公司、广东保伦电子股份有限公司、富士胶片商业创新(中国)有限公司、成都朗速科技有限公司、畅捷通信息技术股份有限公司、北京中科商软软件有限公司、北京致远互联软件股份有限公司、北京亚控科技发展有限公司、北京星网锐捷网络技术有限公司、北京美特软件技术有限公司、北京金和网络股份有限公司、北京火绒网络科技有限公司、北京北大方正电子有限公司、百望股份有限公司、安科瑞电气股份有限公司、艾默生网络能源有限公司和YeaLink。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,新华三技术有限公司、北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。江苏云天网络安全技术有限公司、成都卫士通信息安全技术有限公司、中孚安全技术有限公司、北京纽盾网安信息技术有限公司、江苏正信信息安全测试有限公司、含光实验室、中国电信股份有限公司上海研究院、上海观安信息技术股份有限公司、天翼云科技有限公司及其他个人白帽子向CNVD提交了3270个以事件型漏洞为主的原创漏洞,其中包括三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送2963条原创漏洞信息。
表1 漏洞报送情况统计表
报送单位或个人 |
漏洞报送数量 |
原创漏洞数量 |
新华三技术有限公司 |
2535 |
0 |
三六零数字安全科技集团有限公司 |
2524 |
2524 |
北京启明星辰信息安全技术有限公司 |
1587 |
0 |
北京神州绿盟科技有限公司 |
898 |
0 |
上海交大 |
439 |
439 |
杭州安恒信息技术股份有限公司 |
221 |
0 |
深信服科技股份有限公司 |
204 |
0 |
南京众智维信息科技有限公司 |
61 |
8 |
北京安信天行科技有限公司 |
30 |
30 |
北京长亭科技有限公司 |
21 |
0 |
杭州美创科技股份有限公司 |
18 |
18 |
北京天融信网络安全技术有限公司 |
8 |
8 |
远江盛邦(北京)网络安全科技股份有限公司 |
4 |
4 |
北京智游网安科技有限公司 |
2 |
2 |
阿里云计算有限公司 |
1 |
1 |
北京知道创宇信息技术股份有限公司 |
1 |
0 |
江苏云天网络安全技术有限公司 |
16 |
16 |
成都卫士通信息安全技术有限公司 |
14 |
14 |
中孚安全技术有限公司 |
8 |
8 |
北京纽盾网安信息技术有限公司 |
5 |
5 |
江苏正信信息安全测试有限公司 |
3 |
3 |
含光实验室 |
2 |
2 |
中国电信股份有限公司上海研究院 |
1 |
1 |
上海观安信息技术股份有限公司 |
1 |
1 |
天翼云科技有限公司 |
1 |
1 |
西门子(中国)有限公司 |
1 |
0 |
个人 |
185 |
185 |
报送总计 |
8791 |
3270 |
本周漏洞按类型和厂商统计
本周,CNVD收录了310个漏洞。WEB应用123个,应用程序78个,网络设备(交换机、路由器等网络端设备)50个,操作系统28个,智能设备(物联网终端设备)19个,数据库8个,安全产品4个。
表2 漏洞按影响类型统计表
漏洞影响对象类型 |
漏洞数量 |
WEB应用 |
123 |
应用程序 |
78 |
网络设备(交换机、路由器等网络端设备) |
50 |
操作系统 |
28 |
智能设备(物联网终端设备) |
19 |
数据库 |
8 |
安全产品 |
4 |
CNVD整理和发布的漏洞涉及Open5GS、Linux、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
序号 |
厂商(产品) |
漏洞数量 |
所占比例 |
1 |
Open5GS |
20 |
6% |
2 |
Linux |
14 |
5% |
3 |
Google |
14 |
5% |
4 |
Adobe |
10 |
3% |
5 |
IBM |
10 |
3% |
6 |
D-Link |
9 |
3% |
7 |
用友网络科技股份有限公司 |
9 |
3% |
8 |
Microsoft |
9 |
3% |
9 |
SunGrow |
6 |
2% |
10 |
其他 |
209 |
67% |
本周行业漏洞收录情况
本周,CNVD收录了13个电信行业漏洞,7个移动互联网行业漏洞,5个工控行业漏洞(如下图所示)。其中,“IBM Db2拒绝服务漏洞(CNVD-2025-03032)、 Google Android代码执行漏洞(CNVD-2025-03018)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Microsoft产品安全漏洞
Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Dynamics 365 Sales是一款旨在简化和提升销售过程的强大工具,为销售团队提供洞察力和数据,以建立牢固的客户关系并有效达成交易。Microsoft Azure是美国微软(Microsoft)公司的一套开放的企业级云计算平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在目标主机上执行代码等。
CNVD收录的相关漏洞包括:Microsoft SharePoint输入验证错误漏洞(CNVD-2025-02964)、Microsoft SharePoint授权问题漏洞(CNVD-2025-02968)、Microsoft SharePoint跨站脚本漏洞(CNVD-2025-02967)、Microsoft Excel资源管理错误漏洞(CNVD-2025-02966)、Microsoft Office代码问题漏洞(CNVD-2025-02965)、Microsoft Excel远程代码执行漏洞、Microsoft Dynamics 365 Sales权限提升漏洞、Microsoft Azure Monitor Agent权限提升漏洞(CNVD-2025-03436)。其中,除“Microsoft Azure Monitor Agent权限提升漏洞(CNVD-2025-03436)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02964
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02968
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02967
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02966
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02965
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02970
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02969
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03436
2、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,通过精心设计的HTML页面从系统中获取潜在的敏感信息,造成拒绝服务等。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2025-02971、CNVD-2025-02972)、Google Chrome DevTools内存错误引用漏洞、Google Android代码执行漏洞(CNVD-2025-03018)、Google Android拒绝服务漏洞(CNVD-2025-03020)、Google Android权限提升漏洞(CNVD-2025-03021)、Google Android onCreate函数授权问题漏洞、Google Android Intent.java文件输入验证错误漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02971
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02972
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03016
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03018
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03020
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03021
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03264
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03263
3、IBM产品安全漏洞
IBM Maximo Asset Management是美国国际商业机器(IBM)公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。IBM Db2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞上传受限制的文件类型,导致拒绝服务等。
CNVD收录的相关漏洞包括:IBM Maximo Asset Management文件上传漏洞、IBM Db2代码执行漏洞(CNVD-2025-03026)、IBM Db2拒绝服务漏洞(CNVD-2025-03028、CNVD-2025-03027、CNVD-2025-03030、CNVD-2025-03029、CNVD-2025-03032、CNVD-2025-03031)。其中,“IBM Db2拒绝服务漏洞(CNVD-2025-03032)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03025
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03026
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03028
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03027
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03030
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03029
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03032
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03031
4、Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞在受害者的浏览器会话中执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2025-02955、CNVD-2025-02954、CNVD-2025-02953、CNVD-2025-02958、CNVD-2025-02957、CNVD-2025-02956、CNVD-2025-02962、CNVD-2025-02961)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02955
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02954
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02953
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02958
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02957
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02956
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02962
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02961
5、 TP-LINK Omada ER605缓冲区溢出漏洞
TP-LINK Omada ER605是中国普联(TP-LINK)公司的一款VPN路由器。本周,TP-LINK Omada ER605被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-03274
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list
表4 部分重要高危漏洞列表
CNVD编号 |
漏洞名称 |
综合评级 |
修复方式 |
CNVD-2025-03037 |
Siemens SIMATIC S7-1200 CPU Family拒绝服务漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://support.industry.siemens.com/cs/ww/en/view/109976907/ |
CNVD-2025-03134 |
Open5GS拒绝服务漏洞(CNVD-2025-03134) |
高 |
厂商已发布补丁修复漏洞,请广大用户及时下载更新: https://open5gs.org/ |
CNVD-2025-03154 |
Open5GS拒绝服务漏洞(CNVD-2025-03154) |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://github.com/open5gs/open5gs/releases/tag/v2.7.2 |
CNVD-2025-03203 |
Centreon SQL注入漏洞(CNVD-2025-03203) |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://docs.centreon.com/docs/update/update-centreon-platform/ |
CNVD-2025-03202 |
Juniper Networks Junos OS Evolved内存错误引用漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://supportportal.juniper.net/JSA92869 |
CNVD-2025-03252 |
SunGrow WiNet-S TLV字段堆栈缓冲区溢出漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://en.sungrowpower.com/security-notice-detail-2/5961 |
CNVD-2025-03270 |
SAP Supplier Relationship Management路径遍历漏洞 |
高 |
厂商已发布了漏洞修复程序,请及时关注更新: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2025.html |
CNVD-2025-03273 |
TP-LINK AX1800竞争条件漏洞 |
高 |
用户可参考如下厂商提供的安全补丁以修复该漏洞: https://www.tp-link.com/us/support/download/archer-ax21/v3/#Firmware |
CNVD-2025-03275 |
Mozilla Firefox内存破坏漏洞(CNVD-2025-03275) |
高 |
厂商已发布补丁修复漏洞,请广大用户及时下载更新: https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/ |
CNVD-2025-03330 |
YesWiki跨站脚本漏洞(CNVD-2025-03330) |
高 |
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://github.com/YesWiki/yeswiki/security/advisories/GHSA-w59h-3x3q-3p6j |
小结:本周,Microsoft产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在目标主机上执行代码。此外,Google、IBM、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,通过精心设计的HTML页面从系统中获取潜在的敏感信息,造成拒绝服务等。另外,TP-LINK Omada ER605被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
吉公网安备 22017202000203号
