(20250421-20250427)

一、境外廠商產(chǎn)品漏洞

1、TOTOLINK A6000R action_passwd命令注入漏洞

TOTOLINK A6000R是一款性能卓越的無線路由器，采用先進的技術和設計,為用戶提供出色的網(wǎng)絡體驗。TOTOLINK A6000R action_passwd函數(shù)處理newpasswd參數(shù)存在安全漏洞，遠程攻擊者可利用該漏洞提交特殊的請求，可以應用程序上下文執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-07818

2、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08367）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于GetLogs方法存在SQL注入，攻擊者可利用該漏洞導致繞過授權控制  和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08367

3、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08368）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于CreateBackup方法存在SQL注入，攻擊者可利用該漏洞導致繞過授權控制和執(zhí)行任意代碼。 

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08368

4、Siemens TeleControl Server Basic SQL注入漏洞

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于內(nèi)部方法UpdateBufferingSettings存在SQL注入，攻擊者可利用該漏洞導致繞過授權控制和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08349

5、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08364）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于ImportCertificate方法存在SQL注入，攻擊者可利用該漏洞導致繞過授權控制和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08364

二、境內(nèi)廠商產(chǎn)品漏洞

1、科大訊飛（北京）有限公司科大訊飛智慧云平臺存在SQL注入漏洞

科大訊飛（北京）有限公司是一家主要從事技術開發(fā)、技術推廣、技術轉讓、技術咨詢、技術服務等業(yè)務?的公司。科大訊飛（北京）有限公司科大訊飛智慧云平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-07994

2、北京北大方正電子有限公司方正暢享全媒體新聞采編系統(tǒng)存在SQL注入漏洞

北京北大方正電子有限公司是一家在印刷、傳媒、出版、字庫等領域具有領先地位的技術和服務提供商。北京北大方正電子有限公司方正暢享全媒體新聞采編系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08014

3、北京亞控科技發(fā)展有限公司KingH5Stream存在未授權訪問漏洞

北京亞控科技發(fā)展有限公司是一家工業(yè)自動化和信息化軟件平臺高科技企業(yè)，專注于國產(chǎn)工業(yè)軟件自主研發(fā)、營銷和服務。北京亞控科技發(fā)展有限公司KingH5Stream存在未授權訪問漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03868

4、青島東勝偉業(yè)軟件有限公司東勝訂艙平臺存在邏輯缺陷漏洞

青島東勝偉業(yè)軟件有限公司是一家主要業(yè)務包括計算機軟件開發(fā)、網(wǎng)絡工程設計、網(wǎng)頁設計、綜合布線、軟件技術服務、電子設備的安裝與維護及技術服務、物流信息服務等的公司。青島東勝偉業(yè)軟件有限公司東勝訂艙平臺存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08032

5、北京網(wǎng)動網(wǎng)絡科技股份有限公司網(wǎng)動統(tǒng)一通信平臺存在SQL注入漏洞

北京網(wǎng)動網(wǎng)絡科技股份有限公司是全球領先的云視訊解決方案及服務提供商?。北京網(wǎng)動網(wǎng)絡科技股份有限公司網(wǎng)動統(tǒng)一通信平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08026 

說明：關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺