安全通告
河南凌云交汇本次信息安全通告内容包括以下几方面:安全基本情况、本次重要漏洞信息、威胁信息、病毒信息、预警信息、重大事件、问题及解决方案通告。
本次安全通告内容如下:
- 安全基本情况
- 重要漏洞信息
本月,CNVD收录了62个电信行业漏洞,21移动互联网行业漏洞,39个工控行业漏洞(如下图所示)。其中,“Siemens TeleControl Server Basic SQL注入漏洞、Huawei EMUI和Huawei HarmonyOS访问控制漏洞(CNVD-2025-07823)、TOTOLINK N350RT访问控制错误漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
- 病毒信息
本月通过收集各大软、硬件厂商等安全漏洞平台相关信息,没有病毒信息。
- 本月行业资讯
本月有五个重要安全漏洞信息。
- 威胁信息
1、Dell产品安全漏洞
Dell Wyse Management Suite是美国戴尔(Dell)公司的一套用于管理和优化Wyse端点的、可扩展的解决方案,包括Wyse端点集中管理、资产追踪和自动设备发现等功能。PowerScale OneFS是由Dell公司开发的分布式存储操作系统,用于为企业级存储环境提供统一的文件系统管理和高可用性服务。Dell Wyse Management Suite是Dell提供的一款用于管理和监控客户端设备和虚拟桌面基础设施的软件解决方案。Dell PowerEdge FX2是一个2U混合机架式计算平台。Dell PowerEdge VRTX是一款内置存储系统的迷你服务器。Dell Secure Connect Gateway(Dell SCG)是美国戴尔(Dell)公司的一款安全连接网关。Dell Unity是Dell EMC推出的一款中端存储阵列软件,主要用于数据存储和管理。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,删除任意文件,在系统上执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Dell Wyse Management Suite拒绝服务漏洞、Dell PowerScale OneFS授权逻辑错误漏洞、Dell Wyse Management Suite代码问题漏洞、Dell Wyse Management Suite信息泄露漏洞、Dell PowerEdge FX2和Dell PowerEdge VRTX缓冲区溢出漏洞、Dell Secure Connect Gateway信息泄露漏洞、Dell Unity OS命令执行漏洞(CNVD-2025-08303、CNVD-2025-08302)。其中,“Dell Wyse Management Suite信息泄露漏洞、Dell PowerEdge FX2和Dell PowerEdge VRTX缓冲区溢出漏洞、Dell Unity OS命令执行漏洞(CNVD-2025-08303、CNVD-2025-08302)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08300
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08299
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08298
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08301
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08305
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08304
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08303
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08302
2、Adobe产品安全漏洞
Adobe After Effects是美国奥多比(Adobe)公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感内存泄露,安全功能绕过,任意代码执行等。
CNVD收录的相关漏洞包括:Adobe After Effects空指针解引用漏洞(CNVD-2025-07800)、Adobe After Effects越界读取漏洞(CNVD-2025-07801)、Adobe After Effects越界写入漏洞(CNVD-2025-07802)、Adobe After Effects越界读取漏洞(CNVD-2025-07803)、Adobe Animate越界读取漏洞(CNVD-2025-07804)、Adobe ColdFusion OS命令注入漏洞(CNVD-2025-07805)、Adobe ColdFusion访问控制不当漏洞(CNVD-2025-07806)、Adobe ColdFusion信息泄露漏洞(CNVD-2025-07807)。其中,“Adobe After Effects越界写入漏洞(CNVD-2025-07802)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07800
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07801
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07802
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07803
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07804
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07805
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07806
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07807
3、TOTOLINK产品安全漏洞
TOTOLINK A3100R是中国吉翁电子(TOTOLINK)公司的一系列无线路由器。TOTOLINK AC1200 T8是中国吉翁电子(TOTOLINK)公司的一款双频全千兆路由器。TOTOLINK A3600R是一款无线路由器。TOTOLINK A3700R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码或者导致拒绝服务等。
CNVD收录的相关漏洞包括:TOTOLINK A3100R缓冲区溢出漏洞(CNVD-2025-07820)、TOTOLINK AC1200 T8缓冲区溢出漏洞(CNVD-2025-08339、CNVD-2025-08338)、TOTOLINK A3600R缓冲区溢出漏洞(CNVD-2025-08345)、TOTOLINK A3600R硬编码密码漏洞、TOTOLINK A3700R信息泄露漏洞、TOTOLINK A3700R访问控制错误漏洞、TOTOLINK A3100R命令注入漏洞。其中,“TOTOLINK A3100R缓冲区溢出漏洞(CNVD-2025-07820)、TOTOLINK AC1200 T8缓冲区溢出漏洞(CNVD-2025-08339、CNVD-2025-08338)、TOTOLINK A3600R缓冲区溢出漏洞(CNVD-2025-08345)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07820
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08339
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08338
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08345
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08344
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08343
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08342
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08346
4、Siemens产品安全漏洞
Siemens SENTRON 7KT PAC1260 Data Manager是德国西门子(Siemens)公司的一款用于电力监测和能耗管理的设备。Siemens TeleControl Server Basic是德国西门子(Siemens)公司的一个工业远程控制器。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过SSH远程访问设备,以root权限执行任意代码等 。
CNVD收录的相关漏洞包括:Siemens SENTRON 7KT PAC1260 Data Manager OS命令注入漏洞(CNVD-2025-07808、CNVD-2025-07809、CNVD-2025-07810)、Siemens SENTRON 7KT PAC1260 Data Manager访问控制错误漏洞(CNVD-2025-07811、CNVD-2025-07812)、Siemens SENTRON 7KT PAC1260 Data Manager路径遍历漏洞、Siemens SENTRON 7KT PAC1260 Data Manager信任管理问题漏洞、Siemens TeleControl Server Basic SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07808
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07809
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07810
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07811
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07812
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07814
https://www.cnvd.org.cn/flaw/show/CNVD-2025-07816
https://www.cnvd.org.cn/flaw/show/CNVD-2025-08349
5、Tenda RX3缓冲区溢出漏洞
Tenda RX3是中国腾达(Tenda)公司的一款双频WiFi 6家用无线路由器。用于家庭网络覆盖,支持高速无线连接。本月,Tenda RX3被披露存在缓冲区溢出漏洞,该漏洞源于/goform/SetFirewallCfg中的firewallEn参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-08316