本周漏洞态势研判情况
(2025年02月24日-2025年03月02日)
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞355个,其中高危漏洞173个、中危漏洞156个、低危漏洞26个。漏洞平均分值为6.44。本周收录的漏洞中,涉及0day漏洞252个(占71%),其中互联网上出现“FeMiner wms iquel_inout_item.php文件SQL注入漏洞、FeMiner wms id参数SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数5739个,与上周(3270个)环比增加76%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件7起,向基础电信企业通报漏洞事件2起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件353起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件37起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件16起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了355个漏洞。WEB应用153个,应用程序88个,网络设备(交换机、路由器等网络端设备)73个,操作系统16个,智能设备(物联网终端设备)13个,数据库7个,安全产品5个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Adobe、Cisco、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了31个电信行业漏洞,10个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“Google Android shouldSkipForInitialSUW函数授权问题漏洞、mySCADA myPRO操作系统命令注入漏洞(CNVD-2025-03918)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统计
本周重要漏洞安全告警
3、Cisco产品安全漏洞
Cisco Expressway Series是美国思科(Cisco)公司的一款用于防火墙外访问设备的软件。该软件为防火墙外的用户提供了简单。高度安全的访问功能,帮助远程办公人员在他们选择的设备上更有效地工作。Cisco BroadWorks是美国思科(Cisco)公司的一个运营商级统一通信软件平台。用于在任何类型的有线或无线网络架构上部署来自公共网络平台的云呼叫。Cisco Identity Services Engine是美国思科(Cisco)公司的一款环境感知平台。Cisco AsyncOS是美国思科(Cisco)公司的一款应用于思科设备的操作系统。Cisco Application Policy Infrastructure Controller(APIC)是美国思科(Cisco)公司的一款自动化的基础架构部署和治理解决方案。Cisco Nexus Dashboard Fabric Controller是一款云和数据中心网络管理软件控制器,能够简化数据中心网络的运营和管理。Cisco Meeting Management是思科公司用于管理和调度会议的软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息,通过发送API请求到特定端点提升至管理员权限,上传特制文件并以root权限执行命令等。
CNVD收录的相关漏洞包括:Cisco Expressway Series跨站脚本漏洞、Cisco BroadWorks拒绝服务漏洞、Cisco Identity Services Engine授权绕过漏洞(CNVD-2025-03530)、Cisco AsyncOS输入验证错误漏洞(CNVD-2025-03529)、Cisco Identity Services Engine代码问题漏洞(CNVD-2025-03531)、Cisco Application Policy Infrastructure Controller访问控制错误漏洞(CNVD-2025-03536)、Cisco Nexus Dashboard Fabric Controller SQL注入漏洞、Cisco Meeting Management权限提升漏洞。其中,除“Cisco Expressway Series跨站脚本漏洞、Cisco Application Policy Infrastructure Controller访问控制错误漏洞(CNVD-2025-03536)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03527
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03526
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03530
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03529
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03531
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03536
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03535
https://www.cnvd.org.cn/flaw/show/CNVD-2025-02825
4、Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Google Android代码执行漏洞(CNVD-2025-03643、CNVD-2025-03646、CNVD-2025-03650、CNVD-2025-03651)、Google Android权限提升漏洞(CNVD-2025-03644、CNVD-2025-03647)、Google Android shouldSkipForInitialSUW函数授权问题漏洞、Google Android信息泄露漏洞(CNVD-2025-03652)。其中,除“Google Android信息泄露漏洞(CNVD-2025-03652)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03643
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03644
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03645
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03646
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03647
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03650
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03651
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03652
5、D-Link DIR-816A2 form2WlanBasicSetup.cgi组件访问控制错误漏洞
D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。本周,D-Link DIR-816A2被披露存在访问控制错误漏洞,攻击者可利用该漏洞通过特制POST请求设置2.4G和5G无线服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03615
小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞导致安全功能绕过,执行未授予权限的操作,在当前用户的环境中执行任意代码。此外,Apache、Cisco、Google等多款产品被披露存在多个漏洞,攻击者可利用漏洞从Linkis服务器读取任意文件,获取敏感信息,通过发送API请求到特定端点提升至管理员权限,在系统上执行任意代码,导致程序拒绝服务等。另外,D-Link DIR-816A2被披露存在访问控制错误漏洞,攻击者可利用该漏洞通过特制POST请求设置2.4G和5G无线服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
1、FeMiner wms id参数SQL注入漏洞
验证描述
FeMiner wms是中国前端矿工(FeMiner)个人开发者的一个仓库管理系统。
FeMiner wms 1.0版本存在SQL注入漏洞,该漏洞源于date1, date2, id参数缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/FeMiner/wms/issues/20
https://www.cnvd.org.cn/flaw/show/CNVD-2025-03951
信息提供者
新华三技术有限公司
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
来源:CNVD漏洞平台
