2025年8月25日当周漏洞汇总报告 | CISA网络安全漏洞分析

美国网络安全和基础设施安全局(CISA)发布的2025年8月25日当周漏洞汇总报告,包含227个高危漏洞、217个中危漏洞和49个低危漏洞的详细分析,涉及多个厂商产品和系统的安全风险。

漏洞摘要 - 2025年8月25日当周

发布日期: 2025年9月2日
文档ID: SB25-245

概述

CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞披露(CVE)命名标准,并根据严重性级别进行组织,严重性由通用漏洞评分系统(CVSS)标准确定。

漏洞严重性分类

  • 高危漏洞: CVSS基础评分7.0–10.0
  • 中危漏洞: CVSS基础评分4.0–6.9
  • 低危漏洞: CVSS基础评分0.0–3.9

条目可能包括由CISA赞助的组织和项目提供的其他信息,包括识别信息、值、定义和相关链接。补丁信息在可用时提供。请注意,公告中的部分信息是从外部开源报告编译而来,并非CISA直接分析的结果。

漏洞详情

高危漏洞(显示227个条目中的227个)

主要厂商与产品漏洞

1000projects - Online Project Report Submission and Evaluation System

  • 描述: 在1000projects Online Project Report Submission and Evaluation System 1.0中发现漏洞,影响文件/admin/controller/delete_group_student.php的某些未知处理过程。对参数batch_id的操纵导致SQL注入攻击可远程发起,漏洞利用已公开披露并可能被使用。
  • 发布日期: 2025-08-26
  • CVSS评分: 7.3
  • CVE编号: CVE-2025-9444

8bitkid - Yahoo! WebPlayer

  • 描述: 8bitkid Yahoo! WebPlayer中的输入在网页生成期间未正确中和(跨站脚本)漏洞允许反射型XSS。影响版本:从n/a到2.0.6。
  • 发布日期: 2025-08-28
  • CVSS评分: 7.1
  • CVE编号: CVE-2025-53215

Aaron Axelsen - WPMU Ldap Authentication

  • 描述: Aaron Axelsen WPMU Ldap Authentication中的跨站请求伪造(CSRF)漏洞允许存储型XSS。影响版本:从n/a到5.0.1。
  • 发布日期: 2025-08-28
  • CVSS评分: 7.1
  • CVE编号: CVE-2025-48343

add-ons.org - Drag and Drop File Upload for Elementor Forms

  • 描述: add-ons.org Drag and Drop File Upload for Elementor Forms中的危险类型文件无限制上传漏洞允许将Web Shell上传到Web服务器。影响版本:从n/a到1.5.3。
  • 发布日期: 2025-08-28
  • CVSS评分: 10.0
  • CVE编号: CVE-2025-49387

Agiloft - Agiloft

  • 描述: Agiloft Release 28通过不安全的HTTP连接下载关键系统包。中间人攻击者可能替换或修改下载URL的内容。用户应升级到Agiloft Release 30。
  • 发布日期: 2025-08-26
  • CVSS评分: 8.1
  • CVE编号: CVE-2025-35115

Agiloft - Agiloft

  • 描述: Agiloft Release 28包含多个具有默认凭据的账户,可能允许本地权限提升。至少一个账户的密码哈希已知,凭据可能被离线破解。用户应升级到Agiloft Release 30。
  • 发布日期: 2025-08-26
  • CVSS评分: 7.5
  • CVE编号: CVE-2025-35114

Ai3 - QbiCRMGateway

  • 描述: Ai3开发的QbiCRMGateway存在任意文件读取漏洞,允许未经身份验证的远程攻击者利用相对路径遍历下载任意系统文件。
  • 发布日期: 2025-08-29
  • CVSS评分: 7.5
  • CVE编号: CVE-2025-9639

Arista Networks - EOS

  • 描述: 在运行Arista EOS的受影响平台上,源端口为3503的恶意格式UDP数据包可能被EOS接受。UDP端口3503与LspPing Echo Reply相关联。这可能导致意外行为,特别是对于不执行某种形式身份验证的基于UDP的服务。
  • 发布日期: 2025-08-25
  • CVSS评分: 7.5
  • CVE编号: CVE-2025-6188

(报告继续列出其他高危漏洞,包括Asterisk、Cisco、Dell、HashiCorp Vault、IBM、ImageMagick、NVIDIA等多个厂商的产品漏洞)

中危漏洞(显示217个条目中的217个)

主要厂商与产品漏洞

1000projects - Online Project Report Submission and Evaluation System

  • 描述: 在1000projects Online Project Report Submission and Evaluation System 1.0中确定漏洞,影响文件/admin/edit_title.php?id=1的未知功能。对参数desc的操纵可能导致跨站脚本攻击可远程发起,漏洞利用已公开披露并可能被使用。
  • 发布日期: 2025-08-26
  • CVSS评分: 4.3
  • CVE编号: CVE-2025-9434

AA-Team - Pro Bulk Watermark Plugin for WordPress

  • 描述: AA-Team Pro Bulk Watermark Plugin for WordPress中的路径遍历漏洞允许路径遍历。影响版本:从n/a到2.0。
  • 发布日期: 2025-08-30
  • CVSS评分: 4.3
  • CVE编号: CVE-2025-4956

(报告继续列出其他中危漏洞)

低危漏洞(显示49个条目中的49个)

主要厂商与产品漏洞

appneta - tcpreplay

  • 描述: 在appneta tcpreplay 4.5.1中检测到安全漏洞。影响文件send_packets.c的函数calc_sleep_time。操纵导致除零错误。攻击需要本地接近。漏洞利用已公开披露并可能被使用。建议升级到版本4.5.3-beta3。
  • 发布日期: 2025-08-29
  • CVSS评分: 3.3
  • CVE编号: CVE-2025-9649

Arista Networks - EOS

  • 描述: 在运行Arista EOS的受影响平台上,全局通用加密密钥配置可能以明文形式记录在本地或远程记账日志中。了解加密密钥和设备运行配置中的协议特定加密秘密可能用于获取具有邻居协议关系的设备之间的协议特定密码。
  • 发布日期: 2025-08-25
  • CVSS评分: 3.8
  • CVE编号: CVE-2025-3456

(报告继续列出其他低危漏洞)

总结

本周漏洞报告涵盖了广泛的产品和系统,从网络设备到企业软件、内容管理系统和开发工具。高危漏洞主要集中在SQL注入、远程代码执行、权限提升和缓冲区溢出等类型。建议各组织及时关注相关厂商的安全更新和补丁,优先处理影响自身环境的高危漏洞。

注意: 本摘要仅包含部分代表性漏洞,完整列表请参考CISA官方公告。所有用户都应保持系统和应用程序的最新状态,并实施纵深防御策略来缓解潜在的安全风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次