安全通告

• 安全基本情况

1. 重要漏洞信息

本月，CNVD收录了62个电信行业漏洞，21移动互联网行业漏洞，39个工控行业漏洞（如下图所示）。其中，“Siemens TeleControl Server Basic SQL注入漏洞、Huawei EMUI和Huawei HarmonyOS访问控制漏洞（CNVD-2025-07823）、TOTOLINK N350RT访问控制错误漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

2. 病毒信息

本月通过收集各大软、硬件厂商等安全漏洞平台相关信息，没有病毒信息。

3. 本月行业资讯

本月有五个重要安全漏洞信息。

• 威胁信息

1、Dell产品安全漏洞

Dell Wyse Management Suite是美国戴尔（Dell）公司的一套用于管理和优化Wyse端点的、可扩展的解决方案，包括Wyse端点集中管理、资产追踪和自动设备发现等功能。PowerScale OneFS是由Dell公司开发的分布式存储操作系统，用于为企业级存储环境提供统一的文件系统管理和高可用性服务。Dell Wyse Management Suite是Dell提供的一款用于管理和监控客户端设备和虚拟桌面基础设施的软件解决方案。Dell PowerEdge FX2是一个2U混合机架式计算平台。Dell PowerEdge VRTX是一款内置存储系统的迷你服务器。Dell Secure Connect Gateway（Dell SCG）是美国戴尔（Dell）公司的一款安全连接网关。Dell Unity是Dell EMC推出的一款中端存储阵列软件，主要用于数据存储和管理。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除任意文件，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Dell Wyse Management Suite拒绝服务漏洞、Dell PowerScale OneFS授权逻辑错误漏洞、Dell Wyse Management Suite代码问题漏洞、Dell Wyse Management Suite信息泄露漏洞、Dell PowerEdge FX2和Dell PowerEdge VRTX缓冲区溢出漏洞、Dell Secure Connect Gateway信息泄露漏洞、Dell Unity OS命令执行漏洞（CNVD-2025-08303、CNVD-2025-08302）。其中，“Dell Wyse Management Suite信息泄露漏洞、Dell PowerEdge FX2和Dell PowerEdge VRTX缓冲区溢出漏洞、Dell Unity OS命令执行漏洞（CNVD-2025-08303、CNVD-2025-08302）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08300

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08299

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08298

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08301

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08305

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08304

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08303

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08302

2、Adobe产品安全漏洞

Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致敏感内存泄露，安全功能绕过，任意代码执行等。

CNVD收录的相关漏洞包括：Adobe After Effects空指针解引用漏洞（CNVD-2025-07800）、Adobe After Effects越界读取漏洞（CNVD-2025-07801）、Adobe After Effects越界写入漏洞（CNVD-2025-07802）、Adobe After Effects越界读取漏洞（CNVD-2025-07803）、Adobe Animate越界读取漏洞（CNVD-2025-07804）、Adobe ColdFusion OS命令注入漏洞（CNVD-2025-07805）、Adobe ColdFusion访问控制不当漏洞（CNVD-2025-07806）、Adobe ColdFusion信息泄露漏洞（CNVD-2025-07807）。其中，“Adobe After Effects越界写入漏洞（CNVD-2025-07802）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07800

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07801

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07802

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07803

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07804

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07805

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07806

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07807

3、TOTOLINK产品安全漏洞

TOTOLINK A3100R是中国吉翁电子（TOTOLINK）公司的一系列无线路由器。TOTOLINK AC1200 T8是中国吉翁电子（TOTOLINK）公司的一款双频全千兆路由器。TOTOLINK A3600R是一款无线路由器。TOTOLINK A3700R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码或者导致拒绝服务等。

CNVD收录的相关漏洞包括：TOTOLINK A3100R缓冲区溢出漏洞（CNVD-2025-07820）、TOTOLINK AC1200 T8缓冲区溢出漏洞（CNVD-2025-08339、CNVD-2025-08338）、TOTOLINK A3600R缓冲区溢出漏洞（CNVD-2025-08345）、TOTOLINK A3600R硬编码密码漏洞、TOTOLINK A3700R信息泄露漏洞、TOTOLINK A3700R访问控制错误漏洞、TOTOLINK A3100R命令注入漏洞。其中，“TOTOLINK A3100R缓冲区溢出漏洞（CNVD-2025-07820）、TOTOLINK AC1200 T8缓冲区溢出漏洞（CNVD-2025-08339、CNVD-2025-08338）、TOTOLINK A3600R缓冲区溢出漏洞（CNVD-2025-08345）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07820

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08339

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08338

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08345

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08344

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08343

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08342

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08346

4、Siemens产品安全漏洞

‌ Siemens SENTRON 7KT PAC1260 Data Manager是德国西门子（Siemens）公司的一款用于电力监测和能耗管理的设备。Siemens TeleControl Server Basic是德国西门子（Siemens）公司的一个工业远程控制器。本月，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过SSH远程访问设备，以root权限执行任意代码等 。

CNVD收录的相关漏洞包括：Siemens SENTRON 7KT PAC1260 Data Manager OS命令注入漏洞（CNVD-2025-07808、CNVD-2025-07809、CNVD-2025-07810）、Siemens SENTRON 7KT PAC1260 Data Manager访问控制错误漏洞（CNVD-2025-07811、CNVD-2025-07812）、Siemens SENTRON 7KT PAC1260 Data Manager路径遍历漏洞、Siemens SENTRON 7KT PAC1260 Data Manager信任管理问题漏洞、Siemens TeleControl Server Basic SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07808

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07809

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07810

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07811

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07812

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07814

https://www.cnvd.org.cn/flaw/show/CNVD-2025-07816

https://www.cnvd.org.cn/flaw/show/CNVD-2025-08349

5、Tenda RX3缓冲区溢出漏洞

Tenda RX3是中国腾达（Tenda）公司的一款双频WiFi 6家用无线路由器。用于家庭网络覆盖，支持高速无线连接。本月，Tenda RX3被披露存在缓冲区溢出漏洞，该漏洞源于/goform/SetFirewallCfg中的firewallEn参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08316