(20250217-20250223)

一、境外廠商產(chǎn)品漏洞

1、SAP Supplier Relationship Management路徑遍歷漏洞

SAP Supplier Relationship Management是一款領(lǐng)先的采購供給鏈管理軟件,旨在幫助企業(yè)優(yōu)化供給商關(guān)系,提高采購效率和質(zhì)量。SAP Supplier Relationship Management存在路徑遍歷漏洞，遠程攻擊者可以利用該漏洞提交特殊的請求，可以應(yīng)用程序上下文查看系統(tǒng)文件內(nèi)容，獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03270

2、Google Android onCreate函數(shù)授權(quán)問題漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在授權(quán)問題漏洞，該漏洞源于ChooserActivity.java的onCreate函數(shù)中缺少權(quán)限檢查，攻擊者可利用該漏洞導(dǎo)致繞過出廠重置保護，從而導(dǎo)致本地權(quán)限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03264

3、Mozilla Firefox內(nèi)存破壞漏洞（CNVD-2025-03275）

Mozilla Firefox是一款開源的WEB瀏覽器。Mozilla Firefox存在內(nèi)存破壞漏洞，遠程攻擊者可利用該漏洞提交特殊的Web請求，誘使用戶解析，可以應(yīng)用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03275

4、Google Android Intent.java文件輸入驗證錯誤漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在輸入驗證錯誤漏洞，該漏洞源于Intent.java的parseUriInternal函數(shù)中不正確的輸入驗證，攻擊者可利用該漏洞導(dǎo)致無限循環(huán)，從而造成本地拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03263

5、SAP NetWeaver Application Server Java跨站腳本漏洞

SAP NetWeaver Application Server Java是德國思愛普（SAP）公司的一款提供了Java運行環(huán)境的應(yīng)用程序服務(wù)器。該產(chǎn)品主要用于開發(fā)和運行Java EE應(yīng)用程序。SAP NetWeaver Application Server Java存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當惡意數(shù)據(jù)被查看時，可獲取敏感信息或劫持用戶會話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03269

二、境內(nèi)廠商產(chǎn)品漏洞

1、TP-LINK WR845N弱加密漏洞

TP-LINK WR845N是中國普聯(lián)（TP-LINK）公司的一款無線路由器。TP-LINK WR845N V4_190219版本存在弱加密漏洞，該漏洞源于以base64編碼形式傳輸憑據(jù)，攻擊者可利用該漏洞通過中間人攻擊輕松解碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03276

2、D-Link DIR-816A2 form2WlAc.cgi組件訪問控制錯誤漏洞

D-Link DIR-816A2是中國友訊（D-Link）公司的一款路由器。D-Link DIR-816A2存在訪問控制錯誤漏洞，該漏洞源于form2WlAc.cgi組件的訪問控制不當，未認證攻擊者可利用此漏洞通過特制POST請求設(shè)置2.4G和5G MAC訪問控制。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03262

3、TP-LINK AX1800競爭條件漏洞

?TP-LINK AX1800是中國普聯(lián)（TP-LINK）公司的一款雙頻 Wi-Fi 6路由器。TP-LINK AX1800存在競爭條件漏洞，攻擊者可利用該漏洞訪問LAN接口可用的資源，執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03273

4、D-Link DIR-816A2 form2Wan.cgi組件訪問控制錯誤漏洞

D-Link DIR-816A2是中國友訊（D-Link）公司的一款路由器。D-Link DIR-816A2存在訪問控制錯誤漏洞，該漏洞源于form2Wan.cgi組件的訪問控制不當，未認證攻擊者可利用此漏洞通過特制POST請求設(shè)置廣域網(wǎng)服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03261

5、TP-LINK Omada ER605緩沖區(qū)溢出漏洞

TP-LINK Omada ER605是中國普聯(lián)（TP-LINK）公司的一款VPN路由器。TP-LINK Omada ER605 1.0.1版本至2.2.3版本存在緩沖區(qū)溢出漏洞，該漏洞源于應(yīng)用在處理不受信任的輸入時出現(xiàn)邊界錯誤。遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03274

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

文章來源：CNVD漏洞平臺