CNVD漏洞周报2025年第10期（2025年03月10日-2025年03月16日）-数字化校园建设规划处

安全周报

CNVD漏洞周报2025年第10期（2025年03月10日-2025年03月16日）

发布者：发布时间：2025-03-18 浏览次数：

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞270个，其中高危漏洞95个、中危漏洞161个、低危漏洞14个。漏洞平均分值为6.09。本周收录的漏洞中，涉及0day漏洞194个（占72%），其中互联网上出现“TRENDnet TEW-929DRU /captive_portal.htm页面跨站脚本漏洞、TRENDnet TEW-929DRU /addschedule.htm页面跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数9662个，与上周（7023个）环比增加38%。

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件5起，向基础电信企业通报漏洞事件3起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件388起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件46起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件29起。

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

浙江甄才科技发展有限公司、浙江诺诺网络科技有限公司、浙江禾川科技股份有限公司、用友网络科技股份有限公司、无锡信捷电气股份有限公司、腾讯安全应急响应中心、四创科技有限公司、四川中电启明星信息技术有限公司、施耐德电气（中国）有限公司、神州数码控股有限公司、深圳市显控科技股份有限公司、深圳市吉祥腾达科技有限公司、深圳鲲鹏无限科技有限公司、上海卓卓网络科技有限公司、上海甄云信息科技有限公司、上海异工同智信息科技有限公司、上海泰宇信息技术股份有限公司、上海灵当信息科技有限公司、上海汇招信息技术有限公司、上海泛微网络科技股份有限公司、上海百胜软件股份有限公司、上海爱数信息技术股份有限公司、山东运筹软件有限公司、厦门昕桐科技有限公司、三星（中国）投资有限公司、青岛积成电子股份有限公司、青岛海信网络科技股份有限公司、前锦网络信息技术（上海）有限公司、普联技术有限公司、龙采科技集团有限责任公司、领航未来（北京）科技有限公司、凌霞（深圳）软件有限公司、利盟信息技术（中国）有限公司、力合科技（湖南）股份有限公司、理光（中国）投资有限公司、京瓷（中国）商贸有限公司上海分公司、湖南众合百易信息技术有限公司、杭州纵横通信股份有限公司、杭州当虹科技股份有限公司、广州一碑网络科技有限公司、广州蓝际节能科技发展有限公司、广州红海云计算股份有限公司、广东保伦电子股份有限公司、福建新大陆通信科技股份有限公司、成都虚谷伟业科技有限公司、成都朗速科技有限公司、成都极企科技有限公司、畅捷通信息技术股份有限公司、北京致远互联软件股份有限公司、北京友数聚科技有限公司、北京隐生元科技有限公司、北京星网锐捷网络技术有限公司、北京通达信科科技有限公司、北京世间万象网络科技有限公司、北京神州视翰科技有限公司、北京神州绿盟科技有限公司、北京镜舟科技有限公司、北京竞业达数码科技股份有限公司、北京华力创通科技股份有限公司、安科瑞电气股份有限公司和安川电机（中国）有限公司。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京天融信网络安全技术有限公司、新华三技术有限公司、深信服科技股份有限公司、北京神州绿盟科技有限公司、北京数字观星科技有限公司等单位报送公开收集的漏洞数量较多。中孚安全技术有限公司、北京纽盾网安信息技术有限公司、北京天下信安技术有限公司、江苏云天网络安全技术有限公司、上海直画科技有限公司、成都久信信息技术股份有限公司、星云博创科技有限公司、成都卫士通信息安全技术有限公司、苏州棱镜七彩信息科技有限公司、北京时代新威信息技术有限公司、凭阑江苏实验室科技有限公司、国源天顺科技产业集团有限公司、上海谋乐网络科技有限公司、淮安易云科技有限公司、北京翰慧投资咨询有限公司、中国电信股份有限公司上海研究院、国家能源集团、江苏正信信息安全测试有限公司、上海擎标信息技术服务有限公司、江苏百达智慧网络科技有限公司（含光实验室）、深圳市博通智能技术有限公司、上海银基信息安全技术股份有限公司、北京云弈科技有限公司、中国银联股份有限公司、中电福富信息科技有限公司、中国电信股份有限公司研究院、北京安帝科技有限公司、成都创信华通信息技术有限公司、交通运输部海事局、上海吨吨信息技术有限公司、海南神州希望网络有限公司、中资网络信息安全科技有限公司、中国软件评测中心、甘肃青鸾信息技术有限公司、天磊卫士（深圳）科技有限公司及其他个人白帽子向CNVD提交了9662个以事件型漏洞为主的原创漏洞，其中包括斗象科技（漏洞盒子）、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送8347条原创漏洞信息。

表1 漏洞报送情况统计表

报送单位或个人	漏洞报送数量	原创漏洞数量
斗象科技（漏洞盒子）	7080	7080
北京天融信网络安全技术有限公司	1547	7
新华三技术有限公司	957	0
三六零数字安全科技集团有限公司	865	865
深信服科技股份有限公司	479	5
北京神州绿盟科技有限公司	445	3
上海交大	402	402
北京数字观星科技有限公司	345	0
阿里云计算有限公司	334	5
杭州安恒信息技术股份有限公司	301	1
京东科技信息技术有限公司	213	0
南京众智维信息科技有限公司	124	8
北京安信天行科技有限公司	94	94
北京启明星辰信息安全技术有限公司	53	2
杭州迪普科技股份有限公司	10	0
杭州美创科技股份有限公司	9	9
华为技术有限公司	8	8
北京长亭科技有限公司	7	6
快页信息技术有限公司	6	6
北京智游网安科技有限公司	5	5
北京信联数安科技有限公司	3	3
中孚安全技术有限公司	116	116
北京纽盾网安信息技术有限公司	29	29
北京天下信安技术有限公司	27	27
江苏云天网络安全技术有限公司	16	16
上海直画科技有限公司	14	14
成都久信信息技术股份有限公司	13	13
星云博创科技有限公司	13	13
成都卫士通信息安全技术有限公司	12	12
苏州棱镜七彩信息科技有限公司	11	11
北京时代新威信息技术有限公司	9	9
凭阑江苏实验室科技有限公司	8	8
国源天顺科技产业集团有限公司	8	8
上海谋乐网络科技有限公司	7	7
淮安易云科技有限公司	7	7
北京翰慧投资咨询有限公司	7	7
中国电信股份有限公司上海研究院	3	3
国家能源集团	3	3
江苏正信信息安全测试有限公司	3	3
上海擎标信息技术服务有限公司	2	2
江苏百达智慧网络科技有限公司（含光实验室）	2	2
深圳市博通智能技术有限公司	2	2
上海银基信息安全技术股份有限公司	2	2
北京云弈科技有限公司	2	2
中国银联股份有限公司	2	2
中电福富信息科技有限公司	2	2
中国电信股份有限公司研究院	1	1
北京安帝科技有限公司	1	1
成都创信华通信息技术有限公司	1	1
交通运输部海事局	1	1
上海吨吨信息技术有限公司	1	1
海南神州希望网络有限公司	1	1
中资网络信息安全科技有限公司	1	1
中国软件评测中心	1	1
甘肃青鸾信息技术有限公司	1	1
天磊卫士（深圳）科技有限公司	1	1
西门子（中国）有限公司	1	0
个人	823	823
报送总计	14441	9662

本周漏洞按类型和厂商统计

本周，CNVD收录了270个漏洞。WEB应用143个，应用程序52个，智能设备（物联网终端设备）38个，网络设备（交换机、路由器等网络端设备）20个，操作系统11个，数据库5个，安全产品1个。

表2 漏洞按影响类型统计表

漏洞影响对象类型	漏洞数量
WEB应用	143
应用程序	52
智能设备（物联网终端设备）	38
网络设备（交换机、路由器等网络端设备）	20
操作系统	11
数据库	5
安全产品	1

CNVD整理和发布的漏洞涉及ESRI、Adobe、Google等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

序号	厂商（产品）	漏洞数量	所占比例
1	ESRI	24	9%
2	Adobe	11	4%
3	Google	10	4%
4	IBM	10	4%
5	Linux	9	3%
6	Samsung	8	3%
7	SoftMaker	7	2%
8	青岛海信网络科技股份有限公司	5	2%
9	用友网络科技股份有限公司	5	2%
10	其他	181	67%

本周行业漏洞收录情况

本周，CNVD收录了15个电信行业漏洞，3个移动互联网行业漏洞，5个工控行业漏洞（如下图所示）。其中，“ABB FLXeon日志信息泄露漏洞、Apache Tomcat远程代码执行漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome代码执行漏洞（CNVD-2025-05085、CNVD-2025-05092、CNVD-2025-05091）、Google Chrome信息泄露漏洞（CNVD-2025-05086）、Google Chrome缓冲区溢出漏洞（CNVD-2025-05090）、Google Chrome安全绕过漏洞（CNVD-2025-05089、CNVD-2025-05093、CNVD-2025-05088）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05085

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05086

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05088

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05090

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05089

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05092

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05091

https://www.cnvd.org.cn/flaw/show/CNVD-2025-05093

2、IBM产品安全漏洞

IBM Sterling B2B Integrator是美国国际商业机器（IBM）公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM Aspera Shares是美国国际商业机器（IBM）公司的一个Web应用程序。IBM ApplinX是美国国际商业机器（IBM）公司的一个专注于将绿屏界面转换为基于Web的现代应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致受信任会话中的凭据泄露，获取敏感信息等。

CNVD收录的相关漏洞包括：IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2025-04972）、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2025-04974）、IBM Sterling B2B Integrator跨站脚本漏洞（CNVD-2025-04975、CNVD-2025-04976、CNVD-2025-04977、CNVD-2025-04978）、IBM Aspera Shares服务器端请求伪造漏洞、IBM ApplinX信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04972

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04974

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04975

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04976

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04977

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04978

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04979

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04980

3、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致程序崩溃，任意代码执行等。

CNVD收录的相关漏洞包括：Linux kernel内存错误引用漏洞（CNVD-2025-04672）、Linux kernel sysfs trigger内存错误引用漏洞、Linux kernel tcmu_try_get_data_page内存错误引用漏洞、Linux kernel vesafb驱动内存错误引用漏洞、Linux kernel macsec内存错误引用漏洞、Linux kernel panfrost模块内存错误引用漏洞、Linux kernel pm runtime resume内存错误引用漏洞、Linux kernel scsi: libfc内存错误引用漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04672

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04675

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04674

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04673

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04679

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04678

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04677

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04676

4、Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe InDesign Desktop是一款由Adobe公司开发的专业桌面排版软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2025-04683、CNVD-2025-04682、CNVD-2025-04681、CNVD-2025-04686、CNVD-2025-04684、CNVD-2025-04687、CNVD-2025-04690）、Adobe InDesign Desktop堆缓冲区溢出漏洞。其中，除“Adobe InDesign Desktop堆缓冲区溢出漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04683

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04682

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04681

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04686

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04685

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04684

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04687

https://www.cnvd.org.cn/flaw/show/CNVD-2025-04690

5、TOTOlink A3002R static_ipv6参数缓冲区溢出漏洞

TOTOLINK A3002R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。本周，TOTOLINK A3002R被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-05099

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接：http://www.cnvd.org.cn/flaw/list

表4 部分重要高危漏洞列表

CNVD编号	漏洞名称	综合评级	修复方式
CNVD-2025-05092	Google Chrome代码执行漏洞（CNVD-2025-05092）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
CNVD-2025-05082	Esri ArcGIS Server文件包含漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://support.esri.com/en-us/patches-updates/2025/arcgis-server-security-2025-update-1
CNVD-2025-04685	Adobe InDesign Desktop堆缓冲区溢出漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://helpx.adobe.com/security/products/indesign/apsb25-01.html
CNVD-2025-05093	Google Chrome安全绕过漏洞（CNVD-2025-05093）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
CNVD-2025-04973	Apache Tomcat远程代码执行漏洞	高	厂商已发布安全更新修复漏洞，请广大用户及时下载更新至最新版本： Apache Tomcat >=11.0.3 Apache Tomcat >=10.1.35 Apache Tomcat >=9.0.99 下载地址： https://tomcat.apache.org/security-11.html https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security-9.html
CNVD-2025-05054	Esri ArcGIS Server SQL注入漏洞（CNVD-2025-05054）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://support.esri.com/en-us/patches-updates/2025/arcgis-server-security-2025-update-1
CNVD-2025-05084	Google Chrome代码执行漏洞（CNVD-2025-05084）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html
CNVD-2025-05127	Siemens Simcenter Femap内存损坏漏洞	高	厂商已发布新版本修复漏洞，请广大用户及时下载更新： https://support.sw.siemens.com/
CNVD-2025-05079	Esri ArcGIS Server访问控制错误漏洞	高	厂商已发布了漏洞修复程序，请及时关注更新： https://support.esri.com/en-us/patches-updates/2025/arcgis-server-security-2025-update-1
CNVD-2025-05087	Google Chrome代码执行漏洞（CNVD-2025-05087）	高	厂商已发布了漏洞修复程序，请及时关注更新： https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html

小结：本周，Google产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码或导致应用程序崩溃。此外，IBM、Linux、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致受信任会话中的凭据泄露，获取敏感信息，在当前用户的上下文中执行任意代码，导致程序崩溃等。另外，TOTOLINK A3002R被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

上一篇： CNVD漏洞周报2025年第11期（2025年03月17日-2025年03月23日）

下一篇： CNVD漏洞周报2025年第9期（2025年03月03日-2025年03月09日）