上周关注度较高的产品安全漏洞(20250106-20250112)

上周关注度较高的产品安全漏洞(20250106-20250112)
2025-1-14 08:15:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、境外厂商产品漏洞

1、Fortinet FortiEDR访问控制错误漏洞（CNVD-2025-00410）

Fortinet FortiEDR是美国飞塔（Fortinet）公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访问控制错误漏洞，该漏洞源于不正确的访问控制。攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00410

2、Fortinet FortiAIOps日志信息泄露漏洞

Fortinet FortiAIOps是美国飞塔（Fortinet）公司的一款结合人工智能与机器学习(AI/ML) 的Fortinet网络配套解决方案。Fortinet FortiAIOps 2.0.0版本存在日志信息泄露漏洞，该漏洞源于应用对于敏感信息保护不足，经过身份验证的远程攻击者可利用该漏洞从API端点或日志文件中检索敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00414

3、Fortinet FortiAIOps跨站请求伪造漏洞

Fortinet FortiAIOps是美国飞塔（Fortinet）公司的一款结合人工智能与机器学习(AI/ML) 的Fortinet网络配套解决方案。Fortinet FortiAIOps 2.0.0版本存在跨站请求伪造漏洞，该漏洞源于WEB应用未充分验证请求是否来自可信用户。未经身份验证的远程攻击者可利用该漏洞通过诱骗受害者执行恶意GET请求，代表经过身份验证的用户执行任意操作。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00413

4、Dell NativeEdge权限提升漏洞

Dell NativeEdge 是戴尔公司提供的一款用于管理和配置网络设备的软件。Dell NativeEdge存在安全漏洞。攻击者可利用该漏洞在本地以低权限访问系统，导致权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00407

5、Fortinet FortiClientEMS命令注入漏洞

Fortinet FortiClientEMS是美国飞塔（Fortinet）公司的Fortinet提供的端点管理解决方案的一部分，旨在帮助组织有效地管理其网络中的终端设备，并提供端点安全性的监控和控制。Fortinet FortiClientEMS存在命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00409

二、境内厂商产品漏洞

1、Huawei HarmonyOS UIExtension模块跨进程屏幕堆栈漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS UIExtension模块存在安全漏洞，攻击者可利用该漏洞影响机密性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00868

2、四川迅睿云软件开发有限公司XunRuiCMS存在拒绝服务漏洞

XunRuiCMS是一款基于CodeIgniter4开发的内容管理框架。四川迅睿云软件开发有限公司XunRuiCMS存在拒绝服务漏洞，攻击者可利用该漏洞导致文件内容被清空，进而造成拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00718

3、用友网络科技股份有限公司用友NC存在命令执行漏洞

‌用友NC是一款大型erp企业管理系统与电子商务平台。用友网络科技股份有限公司用友NC存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00716

4、Huawei EMUI和HarmonyOS系统服务模块服务逻辑错误漏洞

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI和HarmonyOS系统服务模块存在服务逻辑错误漏洞，攻击者可利用该漏洞影响服务完整性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00870

5、中兴通讯股份有限公司ZSRV2 智能集成多业务路由器存在弱口令漏洞

中兴通讯股份有限公司是一家全球领先的综合通信解决方案提供商‌。中兴通讯股份有限公司ZSRV2智能集成多业务路由器存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49866

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDk0MDgxMw==&mid=2247499598&idx=2&sn=3ffda804485324be45ad5358707cb07f&chksm=973acc2ca04d453a60c8aa5bf5199d20d6e58d0a0e7cddac0e1414e1cf0dec23ba4bc0e4dc3c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh