本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞285个，其中高危漏洞120个、中危漏洞141个、低危漏洞24个。漏洞平均分值为6.69。本周收录的漏洞中，涉及0day漏洞60个（占21%），其中互联网上出现“Tenda AC5堆栈缓冲区溢出漏洞（CNVD-2025-15273、CNVD-2025-15272）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数4140个，与上周（5724个）环比减少28%。

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件5起，向基础电信企业通报漏洞事件2起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1620起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件127起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件10起。

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

重庆森鑫炬科技有限公司、中建材信云智联科技有限公司、智互联（深圳）科技有限公司、浙江码尚科技股份有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、雅马哈乐器音响（中国）投资有限公司、西门子（中国）有限公司、武汉讯网信息技术有限公司、万洲电气股份有限公司、统信软件技术有限公司、索尼（中国）有限公司、宿迁鑫潮信息技术有限公司、神州数码控股有限公司、深圳云联共创云服务有限公司、深圳市同为数码科技股份有限公司、深圳市四海众联网络科技有限公司、深圳市锐明技术股份有限公司、深圳市明源云科技有限公司、深圳市蓝凌软件股份有限公司、深圳市吉祥腾达科技有限公司、深圳鼎信通达股份有限公司、申瓯通信设备有限公司、上海上讯信息技术股份有限公司、上海锐昉科技有限公司、上海起迪计算机科技发展有限公司、上海来伊份股份有限公司、上海肯耐珂萨人力资源科技股份有限公司、上海斐讯数据通信技术有限公司、上海泛微网络科技股份有限公司、上海布雷德科技有限公司、上海百胜软件股份有限公司、上海爱数信息技术股份有限公司、山东中维世纪科技股份有限公司、山东潍微科技股份有限公司、厦门科拓通讯技术股份有限公司、三星（中国）投资有限公司、三未信安科技股份有限公司、睿因科技（深圳）有限公司、瑞斯康达科技发展股份有限公司、青岛和正信息技术有限公司、青岛海信网络科技股份有限公司、青岛东胜伟业软件有限公司、理光（中国）投资有限公司、浪潮云信息技术股份公司、金蝶软件（中国）有限公司、济南卓源软件有限公司、霍尼韦尔（中国）有限公司、惠普贸易（上海）有限公司、湖南众码网络科技有限公司、湖南建研信息技术股份有限公司、红帽软件(北京)有限公司、恒迈思网络技术（北京）有限公司、杭州莱域科技有限公司、杭州瀚洋科技有限公司、杭州海康威视数字技术股份有限公司、杭州飞致云信息科技有限公司、汉王科技股份有限公司、哈尔滨新中新电子股份有限公司、广州市动景计算机科技有限公司、高通企业管理（上海）有限公司、成都索贝数码科技股份有限公司、畅捷通信息技术股份有限公司、北京星网锐捷网络技术有限公司、北京小米科技有限责任公司、北京神州视翰科技有限公司、北京奇构精益软件有限公司、北京南北天地科技股份有限公司、北京金和网络股份有限公司、北京金风科创风电设备有限公司、北京华软超通科技有限公司、北京汉王智远科技有限公司、安科瑞电气股份有限公司、安徽省科大奥锐科技有限公司和爱迪特（秦皇岛）科技股份有限公司。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，深信服科技股份有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、南京众智维信息科技有限公司、阿里云计算有限公司等单位报送公开收集的漏洞数量较多。北京天下信安技术有限公司、北京山石网科信息技术有限公司、中资网络信息安全科技有限公司、内蒙古旌云科技有限公司、卫士通（广州）信息安全技术有限公司、北京时代新威信息技术有限公司、广东拓思软件科学园有限公司、中国工程物理研究院计算机应用研究所、中国联合网络通信有限公司深圳市分公司、平安银河实验室、中国软件评测中心、中国电信股份有限公司研究院、山东标度信息科技有限公司、中信证券网络与信息安全组、北京双湃智安科技有限公司、北京中百信信息技术股份有限公司、广东安创信息科技开发有限公司、浙江安腾信息技术有限公司、中国电信股份有限公司上海研究院、国家电投集团内蒙古能源有限公司、国网江西省电力有限公司电力科学研究院、润成安全技术有限公司及其他个人白帽子向CNVD提交了4140个以事件型漏洞为主的原创漏洞，其中包括斗象科技（漏洞盒子）、三六零数字安全科技集团有限公司、奇安信网神（补天平台）和上海交大向CNVD共享的白帽子报送3337条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了285个漏洞。应用程序153个，网络设备（交换机、路由器等网络端设备）72个，操作系统40个，WEB应用14个，智能设备（物联网终端设备）4个，数据库2个。

表2 漏洞按影响类型统计表

CNVD整理和发布的漏洞涉及Adobe、TOTOLINK、Huawei等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了47个电信行业漏洞，19个移动互联网行业漏洞，12个工控行业漏洞（如下图所示）。其中，“TOTOLINK N350RT缓冲区溢出漏洞、Google Android越界读取漏洞（CNVD-2025-15178）、Schneider Electric EVLink WallBox路径遍历漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Modeler是美国奥多比（Adobe）公司的一款3D建模和雕刻软件。Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。Adobe Experience Manager是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，导致敏感内存泄露等。

CNVD收录的相关漏洞包括：Adobe InDesign越界写入漏洞（CNVD-2025-15167）、Adobe Substance 3D Painter越界写入漏洞（CNVD-2025-15169）、Adobe Substance 3D Modeler越界写入漏洞（CNVD-2025-15170）、Adobe Substance 3D Stager越界读取漏洞（CNVD-2025-15171）、Adobe Substance 3D Stager内存错误引用漏洞（CNVD-2025-15172、CNVD-2025-15173）、Adobe Experience Manager跨站脚本漏洞（CNVD-2025-15249、CNVD-2025-15251）。其中，除“Adobe Substance 3D Stager越界读取漏洞（CNVD-2025-15171）、Adobe Experience Manager跨站脚本漏洞（CNVD-2025-15249、CNVD-2025-15251）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15167

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15169

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15170

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15171

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15172

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15173

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15249

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15251

2、Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，窃取受害者基于cookie的身份验证凭据，获取敏感信息，导致拒绝服务。

CNVD收录的相关漏洞包括：Mozilla Firefox和Firefox ESR安全绕过漏洞（CNVD-2025-15489、CNVD-2025-15490）、多款Mozilla产品信息泄露漏洞（CNVD-2025-15491）、多款Mozilla产品内存错误漏洞、Mozilla Firefox和Firefox ESR跨站脚本漏洞（CNVD-2025-15493）、Mozilla Firefox安全绕过漏洞（CNVD-2025-15497、CNVD-2025-15499、CNVD-2025-15500）。其中，除“多款Mozilla产品信息泄露漏洞（CNVD-2025-15491）、Mozilla Firefox和Firefox ESR跨站脚本漏洞（CNVD-2025-15493）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15489

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15490

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15491

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15492

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15493

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15497

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15499

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15500

3、Dell产品安全漏洞

Dell Unisphere是戴尔推出的统一存储管理平台。Dell OpenManage Network Integration是戴尔提供的一套系统管理工具，主要用于集成 PowerEdge服务器、VMware vCenter等第三方管理平台。Dell Wyse Management Suite WMS是戴尔公司推出的云端与本地结合的管理平台。Dell SmartFabric OS10是戴尔网络推出的软件定义网络操作系统，基于 Linux 和开源技术，旨在实现数据中心网络资源的灵活管理与自动化部署。Dell PowerProtect Data Domain是戴尔科技推出的数据保护存储设备，基于Data Domain平台构建，专为构建网络弹性基础和实现快速数据恢复设计。Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取、修改和删除任意文件，以root权限执行任意命令等。

CNVD收录的相关漏洞包括：Dell Unisphere for PowerMax vApp静态代码注入漏洞、Dell OpenManage Network Integration身份验证漏洞、Dell Wyse Management Suite WMS跨站脚本漏洞、Dell SmartFabric OS10命令注入漏洞（CNVD-2025-15190、CNVD-2025-15193、CNVD-2025-15192）、Dell PowerProtect Data Domain访问控制漏洞、Dell PowerScale OneFS权限提升漏洞。其中，除“Dell SmartFabric OS10命令注入漏洞（CNVD-2025-15190、CNVD-2025-15193、CNVD-2025-15192）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15186

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15185

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15188

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15190

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15193

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15192

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15242

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15268

4、Schneider Electric产品安全漏洞

‌ Schneider Electric EVLink WallBox是法国施耐德电气（Schneider Electric）公司的一款家用充电站。Schneider Electric Modicon Controllers是法国施耐德电气（Schneider Electric）公司的一系列Modicon系列可编程逻辑控制器。Schneider Electric Trio Q Licensed Data Radio是法国施耐德电气（Schneider Electric）公司的一款收音机。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致拒绝服务等。

CNVD收录的相关漏洞包括：Schneider Electric EVLink WallBox路径遍历漏洞（CNVD-2025-15345、CNVD-2025-15348）、Schneider Electric Modicon Controllers输入验证错误漏洞（CNVD-2025-15349、CNVD-2025-15352）、Schneider Electric Modicon Controllers跨站脚本漏洞（CNVD-2025-15350、CNVD-2025-15351、CNVD-2025-15353）、Schneider Electric Trio Q Licensed Data Radio信息泄露漏洞漏洞。其中，“Schneider Electric EVLink WallBox路径遍历漏洞（CNVD-2025-15348）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15345

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15348

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15349

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15350

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15351

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15352

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15353

https://www.cnvd.org.cn/flaw/show/CNVD-2025-15354

5、D-Link DI-7300G+命令注入漏洞

D-Link DI-7300G+是中国友讯（D-Link）公司的一款坚固耐用的企业级智能网关。本周，D-Link DI-7300G+被披露存在命令注入漏洞，该漏洞是由于httpd_debug.asp中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意操作系统命令。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-15270

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接：http://www.cnvd.org.cn/flaw/list

表4 部分重要高危漏洞列表

小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，导致敏感内存泄露等。此外，Mozilla、Dell、Schneider Electric等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，窃取受害者基于cookie的身份验证凭据，获取敏感信息，以root权限执行任意命令，导致拒绝服务等。另外，D-Link DI-7300G+被披露存在命令注入漏洞，攻击者可利用该漏洞在系统上执行任意操作系统命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。