一、高危漏洞
1. DataEase 代码执行漏洞(CVE-2025-48999/CVE-2025-49001/CVE-2025-49002)
- 关联路径:/de2api/datasource/validate
- 影响范围:版本<2.10.10 ,关联资产数4,757
- 危害分析:代码执行漏洞可让攻击者直接在服务器端执行任意恶意代码,接管系统权限,篡改、窃取核心数据,甚至植入勒索软件,对业务系统破坏性极大。
- 检测验证:CVD-2025-2589 ,建议及时升级漏洞库至最新版本,阻断攻击路径。
2. 泛微e-ecology OA getdata.jsp文件loginid参数SQL注入漏洞
- 关联路径:/js/hrm/getdata.jsp
- 影响范围:暂无明确版本限制,关联资产数56,434(资产覆盖广)
- 危害分析:SQL注入可遍历数据库内容,窃取用户账号、业务数据等敏感信息,若数据库权限高,还能篡改数据、破坏业务逻辑,引发数据泄露、业务中断等事故。
- 检测验证:CVD-2021-15047 ,需通过补丁升级、输入校验等方式修复,降低注入风险。
3. 用友 /portal/pt/oacoSchedulerEvents/listUserSharingEvents SQL注入漏洞
- 关联路径:/portal/pt/oacoSchedulerEvents/listUserSharingEvents
- 影响范围:暂无详细版本,关联资产数8,314
- 危害分析:SQL注入漏洞会使攻击者恶意构造SQL语句,遍历业务数据库,获取如用户信息、业务流程数据等,威胁企业数据资产安全,干扰正常业务运转 。
- 检测验证:CVD-2025-1663 ,及时更新漏洞库并修复,避免漏洞被利用。
二、中危漏洞
1. 泛微协同办公OA系统jqueryFileTree.jsp文件dir参数信息泄露漏洞
- 关联路径:/js/jquery/plugins/jqueryFileTree/connectors/jqueryFileTree.jsp
- 影响范围:暂无版本详情,关联资产数3,073
- 危害分析:信息泄露可暴露服务器文件目录结构、敏感文件路径,为后续攻击(如文件读取、目录遍历)提供信息支撑,增加系统被深入渗透风险 。
- 检测验证:CVD-2021-5922 ,需限制敏感信息输出,修复漏洞防止信息泄露。
2. 爱数Anyshare智能内容管理平台start_service存在命令执行漏洞
- 关联路径:/api/ServiceAgent/start_service
- 影响范围:暂无版本说明,关联资产数972
- 危害分析:命令执行漏洞允许攻击者远程执行系统命令,可操控服务器资源,删除关键文件、植入后门程序,破坏业务连续性与数据完整性 。
- 检测验证:CVD-2025-2725 ,需通过权限控制、输入过滤等方式加固。
3. 浪潮财务管理 bizintPerationwebservice.asmx代码执行漏洞
- 关联路径:/cwtbase/gsp/webservice/bizintegrationwebservice/bizintegrationwebservice.asmx
- 影响范围:暂无版本详情,关联资产数194
- 危害分析:代码执行漏洞可让攻击者注入恶意代码,影响财务系统数据(如账单、资金流水),引发财务数据错误、资金风险等问题,对企业经济利益和信誉冲击大 。
- 检测验证:CVD-2024-3099 ,及时修复保障财务系统安全。
三、低危但需关注漏洞
1. NIPS绿盟网络入侵防护系统users.json敏感信息泄露漏洞
- 关联路径:/aiccgi/users.json
- 影响范围:暂无版本说明,关联资产数46
- 危害分析:虽资产覆盖少,但泄露防护系统用户信息,可能被利用绕过防护规则,降低入侵防护能力,间接为攻击敞开大门 。
- 检测验证:CVD-2025-2742 ,需修复漏洞,避免敏感信息外流。
2. 华测监测预警系统/Web/SysManage/sysGroupEdit.aspx SQL注入漏洞
- 关联路径:/Web/SysManage/sysGroupEdit.aspx
- 影响范围:暂无版本详情,关联资产数64
- 危害分析:SQL注入可获取系统配置、用户权限等信息,破坏监测预警系统数据准确性,影响安全监测、预警功能正常发挥,削弱企业安全防护能力 。
- 检测验证:CVD-2025-2712 ,需完善输入校验,修复漏洞。
护网行动中,需依据漏洞危害程度,优先处置高危漏洞,同步推进中低危漏洞修复。通过及时更新漏洞库、强化资产监测、部署防护策略等,构建多层次防御体系,守护业务系统安全 。
扫一扫
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
