(20250106-20250112)

一、境外廠商產(chǎn)品漏洞

1、Fortinet FortiEDR訪問控制錯誤漏洞(CNVD-2025-00410)

Fortinet FortiEDR是美國飛塔(Fortinet)公司的一個從頭開始構建的端點安全解決方案。Fortinet FortiEDR存在訪問控制錯誤漏洞，該漏洞源于不正確的訪問控制。攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00410

2、Fortinet FortiAIOps日志信息泄露漏洞

Fortinet FortiAIOps是美國飛塔(Fortinet)公司的一款結合人工智能與機器學習(AI/ML) 的Fortinet網(wǎng)絡配套解決方案。Fortinet FortiAIOps 2.0.0版本存在日志信息泄露漏洞，該漏洞源于應用對于敏感信息保護不足，經(jīng)過身份驗證的遠程攻擊者可利用該漏洞從API端點或日志文件中檢索敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00414

3、Fortinet FortiAIOps跨站請求偽造漏洞

Fortinet FortiAIOps是美國飛塔(Fortinet)公司的一款結合人工智能與機器學習(AI/ML) 的Fortinet網(wǎng)絡配套解決方案。Fortinet FortiAIOps 2.0.0版本存在跨站請求偽造漏洞，該漏洞源于WEB應用未充分驗證請求是否來自可信用戶。未經(jīng)身份驗證的遠程攻擊者可利用該漏洞通過誘騙受害者執(zhí)行惡意GET請求，代表經(jīng)過身份驗證的用戶執(zhí)行任意操作。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00413

4、Dell NativeEdge權限提升漏洞

Dell NativeEdge 是戴爾公司提供的一款用于管理和配置網(wǎng)絡設備的軟件。Dell NativeEdge存在安全漏洞。攻擊者可利用該漏洞在本地以低權限訪問系統(tǒng)，導致權限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00407

5、Fortinet FortiClientEMS命令注入漏洞

Fortinet FortiClientEMS是美國飛塔(Fortinet)公司的Fortinet提供的端點管理解決方案的一部分，旨在幫助組織有效地管理其網(wǎng)絡中的終端設備，并提供端點安全性的監(jiān)控和控制。Fortinet FortiClientEMS存在命令注入漏洞，該漏洞源于應用未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞導致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00409

二、境內(nèi)廠商產(chǎn)品漏洞

1、Huawei HarmonyOS UIExtension模塊跨進程屏幕堆棧漏洞

Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS UIExtension模塊存在安全漏洞，攻擊者可利用該漏洞影響機密性。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00868

2、四川迅睿云軟件開發(fā)有限公司XunRuiCMS存在拒絕服務漏洞

XunRuiCMS是一款基于CodeIgniter4開發(fā)的內(nèi)容管理框架。四川迅睿云軟件開發(fā)有限公司XunRuiCMS存在拒絕服務漏洞，攻擊者可利用該漏洞導致文件內(nèi)容被清空，進而造成拒絕服務。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00718

3、用友網(wǎng)絡科技股份有限公司用友NC存在命令執(zhí)行漏洞

?用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務平臺。用友網(wǎng)絡科技股份有限公司用友NC存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00716

4、Huawei EMUI和HarmonyOS系統(tǒng)服務模塊服務邏輯錯誤漏洞

Huawei EMUI是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei HarmonyOS是一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI和HarmonyOS系統(tǒng)服務模塊存在服務邏輯錯誤漏洞，攻擊者可利用該漏洞影響服務完整性。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00870

5、中興通訊股份有限公司ZSRV2 智能集成多業(yè)務路由器存在弱口令漏洞

中興通訊股份有限公司是一家全球領先的綜合通信解決方案提供商?。中興通訊股份有限公司ZSRV2智能集成多業(yè)務路由器存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49866

說明：關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺