本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞445个，其中高危漏洞258个、中危漏洞177个、低危漏洞10个。漏洞平均分值为6.85。本周收录的漏洞中，涉及0day漏洞151个（占34%），其中互联网上出现“Tenda FH1201缓冲区溢出漏洞（CNVD-2025-16633）、NETGEAR WNCE3001缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数6802个，与上周（4882个）环比增加39%。

图1 CNVD收录漏洞近10周平均分值分布图

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件11起，向基础电信企业通报漏洞事件3起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件438起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件51起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件18起。

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

珠海市安克电子技术有限公司、珠海金山办公软件有限公司、珠海环界云计算有限公司、珠海奔图打印科技有限公司、中科方德软件有限公司、正泰集团股份有限公司、浙江宇视科技有限公司、浙江湖州华卓信息科技有限公司、浙江大华技术股份有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、烟台小樱桃网络科技有限公司、兄弟商业（中国）有限公司、夏普科技（上海）有限公司、武汉天地伟业科技有限公司、无锡领秀科技有限公司、卫宁健康科技集团股份有限公司、望海康信（北京）科技股份公司、网是科技股份有限公司、广州图创计算机软件开发有限公司、统信软件技术有限公司、同望科技股份有限公司、神州数码控股有限公司、深圳市中科网威科技有限公司、深圳市智微智能科技股份有限公司、深圳市显控科技股份有限公司、深圳市思迅软件股份有限公司、深圳市明源云科技有限公司、深圳市蓝凌软件股份有限公司、深圳市吉祥腾达科技有限公司、深圳市海融易通电子有限公司、深圳市必联电子有限公司、深圳达实智能股份有限公司、深圳达实物联网技术有限公司、上海起迪计算机科技发展有限公司、上海肯耐珂萨人力资源科技股份有限公司、上海孚盟软件有限公司、上海百胜软件股份有限公司、厦门四信通信科技有限公司、厦门科汛软件有限公司、曲靖蜂信科技有限公司、青岛浩海网络科技股份有限公司、青岛海信网络科技股份有限公司、青岛东胜伟业软件科技有限公司、摩莎科技（上海）有限公司、盟创科技股份有限公司、力合科技（湖南）股份有限公司、浪潮数字（山东）科技有限公司、朗坤智慧科技股份有限公司、金蝶软件（中国）有限公司、佳能（中国）有限公司、济南有人物联网技术有限公司、济南爱程网络科技有限公司、慧与（中国）有限公司、湖南众合百易信息技术有限公司、湖南竞网智赢网络技术有限公司、红狮控股集团有限公司、红门智能科技股份有限公司、合肥六出网络科技有限公司、杭州雄伟科技开发股份有限公司、杭州三六零亿方智能有限公司、杭州三汇信息工程有限公司、汉王科技股份有限公司、海南国思软件科技有限公司、海口快推科技有限公司、广州市玄武无线科技股份有限公司、广州市玄瞳科技有限公司、广州红海云计算股份有限公司、广东保伦电子股份有限公司、福建新大陆自动识别技术有限公司、东方网力科技股份有限公司、鼎捷数智股份有限公司、成都天问互联科技有限公司、成都索贝数码科技股份有限公司、畅捷通信息技术股份有限公司、北京星网锐捷网络技术有限公司、北京小米科技有限责任公司、北京神州视翰科技有限公司、北京神州绿盟科技有限公司、北京美特软件技术有限公司、北京凯特伟业科技有限公司、北京金和网络股份有限公司、北京汉王智远科技有限公司、北京北大方正电子有限公司、安科瑞电气股份有限公司、安徽德通智联科技有限公司、爱迪特（秦皇岛）科技股份有限公司和Kyland Technology Co., Ltd。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，新华三技术有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司等单位报送公开收集的漏洞数量较多。国家能源集团、北京天下信安技术有限公司、中孚安全技术有限公司、苏州棱镜七彩信息科技有限公司、成都尺物科技有限公司、中资网络信息安全科技有限公司、北京山石网科信息技术有限公司、中国电信股份有限公司上海研究院、吉林省吉林祥云信息技术有限公司、中国电信股份有限公司研究院、西藏熙安信息技术有限责任公司、北京有略安全技术有限公司、北京禹宏信安科技有限公司、内蒙古旌云科技有限公司、畅捷通信息技术股份有限公司、沈阳化工大学-辽宁省石油化工行业信息安全重点实验室、山东五棵松电气科技有限公司、陕西青山四纪信息技术有限公司、国家电投集团内蒙古能源有限公司、五征环信息技术（山东）有限公司、深圳昂楷科技有限公司、中国工程物理研究院计算机应用研究所及其他个人白帽子向CNVD提交了6802个以事件型漏洞为主的原创漏洞，其中包括三六零数字安全科技集团有限公司、斗象科技（漏洞盒子）和奇安信网神（补天平台）向CNVD共享的白帽子报送5944条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了445个漏洞。应用程序233个，网络设备（交换机、路由器等网络端设备）110个，WEB应用66个，操作系统26个，智能设备（物联网终端设备）7个，安全产品3个。

表2 漏洞按影响类型统计表

CNVD整理和发布的漏洞涉及JetBrains、IrfanView、Adobe等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了44个电信行业漏洞，13个移动互联网行业漏洞，9个工控行业漏洞（如下图所示）。其中，“Fuji Electric V-Server/V-Server Lite越界读取漏洞、NETGEAR RAX30 getblockschedule缓冲区溢出漏洞”等漏洞的综合评级为“高危” 。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Substance 3D Designer是美国奥多比（Adobe）公司的一款3D设计软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Illustrator缓冲区溢出漏洞（CNVD-2025-16402）、Adobe Illustrator越界写入漏洞（CNVD-2025-16401、CNVD-2025-16403）、Adobe Substance 3D Designer越界写入漏洞（CNVD-2025-16543、CNVD-2025-16542、CNVD-2025-16545）、Adobe Illustrator堆栈缓冲区溢出漏洞（CNVD-2025-16547、CNVD-2025-16546）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16402

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16401

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16403

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16543

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16542

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16545

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16547

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16546

2、Microsoft产品安全漏洞

Microsoft PowerPoint是美国微软（Microsoft）公司的Office套件中的一个文档演示工具。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft SharePoint Server是微软制作的一款用于Windows Server的组群软件，提供基本的门户网站和企业内网功能。Microsoft Word是美国微软（Microsoft）公司的一套Office套件中的文字处理软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Microsoft PowerPoint代码执行漏洞（CNVD-2025-16686、CNVD-2025-16692）、Microsoft Office代码执行漏洞（CNVD-2025-16688、CNVD-2025-16689）、Microsoft Office权限提升漏洞（CNVD-2025-16690）、Microsoft SharePoint Server远程代码执行漏洞（CNVD-2025-16693）、Microsoft Word代码执行漏洞（CNVD-2025-16694、CNVD-2025-16695）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16686

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16688

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16689

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16690

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16692

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16693

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16694

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16695

3、Siemens产品安全漏洞

Siemens SICAM TOOLBOX II是德国西门子（Siemens）公司的一款工程软件。Siemens Solid Edge SE2025是德国西门子（Siemens）公司的一款开发软件。Siemens SINEC NMS是德国西门子（Siemens）公司的一个网络管理系统(NMS)，该系统可用于全天候集中监控、管理和配置具有数万台设备的工业网络，包括与安全相关的领域。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在服务器数据库上执行任意SQL查询，导致任意文件写入，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens SICAM TOOLBOX II信任管理问题漏洞、Siemens Solid Edge SE2025堆栈缓冲区溢出漏洞、Siemens Solid Edge SE2025越界读取漏洞（CNVD-2025-16626、CNVD-2025-16628）、Siemens SINEC NMS路径遍历漏洞（CNVD-2025-16627、CNVD-2025-16629）、Siemens SINEC NMS SQL注入漏洞（CNVD-2025-16630）、Siemens SINEC NMS访问控制错误漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16620

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16625

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16626

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16627

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16628

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16629

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16630

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16632

4、Apache产品安全漏洞

Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。用于实现对Servlet和JavaServer Page（JSP）的支持。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞操纵Content-Type响应头，绕过安全限制，导致拒绝服务等。

CNVD收录的相关漏洞包括：Apache HTTP Server拒绝服务漏洞（CNVD-2025-16603、CNVD-2025-16608）、Apache HTTP Server服务器端请求伪造漏洞（CNVD-2025-16609）、Apache HTTP Server访问控制错误漏洞、Apache HTTP Server输入验证错误漏洞（CNVD-2025-16612）、Apache Tomcat竞争条件问题漏洞、Apache Tomcat输入验证错误漏洞（CNVD-2025-16617）、Apache Tomcat安全绕过漏洞（CNVD-2025-16619）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16603

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16608

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16609

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16610

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16612

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16616

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16617

https://www.cnvd.org.cn/flaw/show/CNVD-2025-16619

5、D-Link DI-8100缓冲区溢出漏洞

D-Link DI-8100是D-Link公司的一款企业级路由器设备。本周，D-Link DI-8100被披露存在缓冲区溢出漏洞，该漏洞源于对HTTP请求处理组件中/menu_nat.asp文件的out_addr/in_addr/out_port/proto参数处理不当。攻击者可利用该漏洞通过远程构造恶意参数触发堆栈溢出，进而执行任意代码或导致系统崩溃。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-16772

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接：http://www.cnvd.org.cn/flaw/list

表4 部分重要高危漏洞列表

小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Microsoft、Siemens、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞在服务器数据库上执行任意SQL查询，提升权限，操纵Content-Type响应头，绕过安全限制，在系统上执行任意代码或导致应用程序崩溃等。另外，D-Link DI-8100被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞通过远程构造恶意参数触发堆栈溢出，进而执行任意代码或导致系统崩溃。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。