漏洞概述
CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞披露(CVE)命名标准,并根据通用漏洞评分系统(CVSS)标准确定的严重性进行组织。
漏洞严重性分类
高危漏洞
共428个条目,CVSS基础评分7.0-10.0
代表性漏洞示例:
- 1000 Projects Sales Management System 1.0 - 多个SQL注入漏洞(CVE-2025-8932等)
- ABB AbilityTM zenon - 关键功能缺失身份验证漏洞(CVE-2025-8754)
- Adobe Commerce - 跨站请求伪造、存储型XSS等多个漏洞(CVE-2025-49555等)
- Cisco Adaptive Security Appliance - 多个拒绝服务漏洞(CVE-2025-20133等)
中危漏洞
共369个条目,CVSS基础评分4.0-6.9
代表性漏洞示例:
- 1000 Projects Sales Management System - 跨站脚本漏洞(CVE-2025-8933)
- ABB Aspect - 关键功能缺失身份验证(CVE-2025-7677)
- Adobe Commerce - 路径遍历漏洞(CVE-2025-49559)
低危漏洞
共57个条目,CVSS基础评分0.0-3.9
代表性漏洞示例:
- Backstage scaffolder-backend插件 - 敏感信息记录重复问题(CVE-2025-55285)
- Buttercup浏览器扩展 - 不正确的访问控制(CVE-2017-20199)
主要影响厂商
Adobe系列产品
多个产品存在内存破坏、越界写入、使用后释放等漏洞:
- Adobe Commerce (CVE-2025-49554等)
- Adobe Framemaker (CVE-2025-54229等)
- Adobe Illustrator (CVE-2025-49563等)
Cisco网络安全产品
- Cisco Adaptive Security Appliance (多个CVE)
- Cisco Firepower Management Center (CVE-2025-20265等)
- Cisco Firepower Threat Defense Software (CVE-2025-20217等)
Microsoft产品系列
- Azure服务 (CVE-2025-53729等)
- Office套件 (CVE-2025-53784等)
- Windows系统 (CVE-2025-53766等)
Siemens工业控制系统
- SIMATIC系列产品 (CVE-2025-40758等)
- SINUMERIK数控系统 (CVE-2025-40743)
- SIPROTEC保护设备 (CVE-2024-52504)
技术要点分析
- SQL注入漏洞在Web应用中仍然普遍存在
- 内存破坏漏洞在桌面应用程序中占比较高
- 身份验证绕过问题在多个网络设备中出现
- 工业控制系统漏洞可能对关键基础设施造成影响
建议措施
- 及时关注厂商安全更新
- 对关键系统进行漏洞评估
- 实施纵深防御策略
- 建立应急响应机制
该漏洞汇总为网络安全专业人员提供了重要的威胁情报,建议相关组织根据自身使用的产品类型,优先处理高危漏洞的修复工作。