安全通告
河南凌云交汇本次信息安全通告内容包括以下几方面:安全基本情况、本次重要漏洞信息、威胁信息、病毒信息、预警信息、重大事件、问题及解决方案通告。本次安全通告内容如下:
•安全基本情况
1.1 重要漏洞信息
本月,CNVD收录了31个电信行业漏洞,10个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“Google Android shouldSkipForInitialSUW函数授权问题漏洞、mySCADA myPRO操作系统命令注入漏洞(CNVD-2025-03918)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
1.2 病毒信息
本月通过收集各大软、硬件厂商等安全漏洞平台相关信息,没有病毒信息。
1.3 本月行业资讯
本月有五个重要安全漏洞信息。
•威胁信息
1、Adobe产品安全漏洞
Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致安全功能绕过,执行未授予权限的操作,在当前用户的环境中执行任意代码。
CNVD收录的相关漏洞包括:Adobe Commerce安全绕过漏洞(CNVD-2025-03626、CNVD-2025-03630、CNVD-2025-03631、CNVD-2025-03632)、Adobe InDesign越界写入漏洞(CNVD-2025-03633、CNVD-2025-03639)、Adobe Commerce安全绕过漏洞(CNVD-2025-03635)、Adobe InDesign代码执行漏洞(CNVD-2025-03642)。其中,除“Adobe Commerce安全绕过漏洞(CNVD-2025-03630、CNVD-2025-03631、CNVD-2025-03632)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03626
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03630
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03631
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03632
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03633
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03635
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03639
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03642
2、Apache产品安全漏洞
Apache Ranger是美国阿帕奇(Apache)基金会的一套为Hadoop集群实现全面安全措施的架构。该产品针对授权、结算和数据保护等核心企业安全要求,提供中央安全政策管理。Apache Cassandra是美国阿帕奇(Apache)基金会的一个分布式Nosql数据库。Apache Linkis是美国阿帕奇(Apache)基金会的一款中间件产品,可以在上层应用和底层数据引擎之间建立起有效的连接。Apache Ambari是美国阿帕奇(Apache)基金会的一个应用软件。提供开发用于配置,管理和监视Apache Hadoop集群的软件来简化Hadoop管理。Apache Wicket是美国阿帕奇(Apache)基金会的一套开源、轻量、基于组件的框架,它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Traffic Control是美国阿帕奇(Apache)基金会的一套分布式、可扩展的内容分发解决方案。该产品主要用于构建大规模内容分发网络。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞从Linkis服务器读取任意文件,在服务器上执行任意命令,导致程序拒绝服务等。
CNVD收录的相关漏洞包括:Apache Ranger服务端请求伪造漏洞、Apache Cassandra授权问题漏洞、Apache Linkis输入验证错误漏洞、Apache Hadoop代码注入漏洞、Apache Wicket资源管理错误漏洞、Apache Ranger跨站脚本漏洞(CNVD-2025-03540)、Apache OFBiz输入验证错误漏洞(CNVD-2025-03546)、Apache Traffic Control SQL注入漏洞。其中,“Apache Ranger服务端请求伪造漏洞、Apache Hadoop代码注入漏洞、Apache OFBiz输入验证错误漏洞(CNVD-2025-03546)、Apache Traffic Control SQL注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03539
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03538
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03537
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03542
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03541
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03540
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03546
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03543
3、Cisco产品安全漏洞
Cisco Expressway Series是美国思科(Cisco)公司的一款用于防火墙外访问设备的软件。该软件为防火墙外的用户提供了简单。高度安全的访问功能,帮助远程办公人员在他们选择的设备上更有效地工作。Cisco BroadWorks是美国思科(Cisco)公司的一个运营商级统一通信软件平台。用于在任何类型的有线或无线网络架构上部署来自公共网络平台的云呼叫。Cisco Identity Services Engine是美国思科(Cisco)公司的一款环境感知平台。Cisco AsyncOS是美国思科(Cisco)公司的一款应用于思科设备的操作系统。Cisco Application Policy Infrastructure Controller(APIC)是美国思科(Cisco)公司的一款自动化的基础架构部署和治理解决方案。Cisco Nexus Dashboard Fabric Controller是一款云和数据中心网络管理软件控制器,能够简化数据中心网络的运营和管理。Cisco Meeting Management是思科公司用于管理和调度会议的软件。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息,通过发送API请求到特定端点提升至管理员权限,上传特制文件并以root权限执行命令等。
CNVD收录的相关漏洞包括:Cisco Expressway Series跨站脚本漏洞、Cisco BroadWorks拒绝服务漏洞、Cisco Identity Services Engine授权绕过漏洞(CNVD-2025-03530)、Cisco AsyncOS输入验证错误漏洞(CNVD-2025-03529)、Cisco Identity Services Engine代码问题漏洞(CNVD-2025-03531)、Cisco Application Policy Infrastructure Controller访问控制错误漏洞(CNVD-2025-03536)、Cisco Nexus Dashboard Fabric Controller SQL注入漏洞、Cisco Meeting Management权限提升漏洞。其中,除“Cisco Expressway Series跨站脚本漏洞、Cisco Application Policy Infrastructure Controller访问控制错误漏洞(CNVD-2025-03536)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03527
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03526
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03530
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03529
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03531
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03536
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03535
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02825
4、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本月,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Google Android代码执行漏洞(CNVD-2025-03643、CNVD-2025-03646、CNVD-2025-03650、CNVD-2025-03651)、Google Android权限提升漏洞(CNVD-2025-03644、CNVD-2025-03647)、Google Android shouldSkipForInitialSUW函数授权问题漏洞、Google Android信息泄露漏洞(CNVD-2025-03652)。其中,除“Google Android信息泄露漏洞(CNVD-2025-03652)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03643
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03644
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03645
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03646
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03647
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03650
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03651
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03652
5、 D-Link DIR-816A2 form2WlanBasicSetup.cgi组件访问控制错误漏洞
D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。本月,D-Link DIR-816A2被披露存在访问控制错误漏洞,攻击者可利用该漏洞通过特制POST请求设置2.4G和5G无线服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03615
