漏洞摘要 - 2025年8月4日当周
发布日期: 2025年8月11日
文档ID: SB25-223
概述
CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞与暴露(CVE)命名标准,并根据严重性级别进行组织,严重性由通用漏洞评分系统(CVSS)标准确定。高、中、低严重性级别对应以下分数:
- 高危: CVSS基础分数7.0–10.0
- 中危: CVSS基础分数4.0–6.9
- 低危: CVSS基础分数0.0–3.9
条目可能包含由组织和CISA赞助的工作提供的附加信息。这些信息可能包括识别信息、值、定义和相关链接。补丁信息在可用时提供。请注意,公告中的部分信息是从外部开源报告编译而来,并非CISA分析的直接结果。
漏洞严重性统计
| 严重性级别 | 数量 |
|---|---|
| 高危漏洞 | 143 |
| 中危漏洞 | 194 |
| 低危漏洞 | 62 |
| 尚未分配 | 268 |
高危漏洞精选
Adobe Experience Manager
- 描述: Adobe Experience Manager 6.5.23及更早版本受错误配置漏洞影响,可能导致任意代码执行
- CVSS分数: 10.0
- CVE编号: CVE-2025-54253
Microsoft Azure Open AI
- 描述: Azure OpenAI权限提升漏洞
- CVSS分数: 10.0
- CVE编号: CVE-2025-53767
NVIDIA Triton Inference Server
- 描述: 攻击者可通过特别构造的输入导致堆栈缓冲区溢出,可能导致远程代码执行
- CVSS分数: 9.8
- CVE编号: CVE-2025-23310
Dell PowerProtect Data Domain
- 描述: 身份验证绕过漏洞,未经身份验证的攻击者可创建账户
- CVSS分数: 9.8
- CVE编号: CVE-2025-36594
Huawei HarmonyOS
- 描述: 绑定身份验证绕过漏洞,可能影响服务机密性
- CVSS分数: 8.3
- CVE编号: CVE-2025-54622
中危漏洞精选
Cisco Identity Services Engine
- 描述: 基于Web的管理界面中的存储型XSS漏洞
- CVSS分数: 5.4
- CVE编号: CVE-2025-20331
WordPress插件漏洞
多个WordPress插件存在存储型XSS漏洞,包括:
- Element Pack Addons for Elementor (CVE-2025-8100)
- Download Counter插件 (CVE-2025-8294)
- Campus Directory插件 (CVE-2025-8313)
低危漏洞精选
7-Zip
- 描述: 在提取过程中不总是正确处理符号链接
- CVSS分数: 3.6
- CVE编号: CVE-2025-55188
Dell SupportAssist OS Recovery
- 描述: 敏感信息暴露给未经授权的参与者
- CVSS分数: 3.5
- CVE编号: CVE-2025-38746
尚未分配严重性的漏洞
报告还包含了268个尚未分配CVSS分数的漏洞,涉及多个厂商和产品,包括:
- 4C Strategies Exonaut
- ActFax Server
- Apache CXF
- BlueStacks Player
- Concrete CMS
- 以及其他多个系统和应用程序
建议措施
用户和管理员应:
- 及时应用相关厂商发布的安全补丁
- 优先处理CVSS分数较高的漏洞
- 遵循纵深防御策略,实施多层安全控制
- 监控CISA和其他安全机构的最新安全公告
完整的漏洞列表和详细信息请参考CISA官方公告。