漏洞摘要 - 2025年8月4日当周
发布日期:2025年8月11日
文档ID:SB25-223
CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞与暴露(CVE)漏洞命名标准,并根据严重性进行组织,由通用漏洞评分系统(CVSS)标准确定。高、中、低严重性的划分对应以下分数:
- 高:CVSS基础分数为7.0–10.0的漏洞
- 中:CVSS基础分数为4.0–6.9的漏洞
- 低:CVSS基础分数为0.0–3.9的漏洞
条目可能包含由组织和CISA赞助的工作提供的附加信息。此信息可能包括识别信息、值、定义和相关链接。补丁信息在可用时提供。请注意,公告中的部分信息是从外部开源报告编译而来,并非CISA分析的直接结果。
漏洞严重性
- 高危漏洞 - 显示143个条目中的143个
- 中危漏洞 - 显示194个条目中的194个
- 低危漏洞 - 显示62个条目中的62个
- 尚未分配 - 显示268个条目中的268个
高危漏洞
Adobe - Adobe Experience Manager
描述: Adobe Experience Manager 6.5.23及更早版本受到配置错误漏洞影响,可能导致任意代码执行。攻击者可利用此漏洞绕过安全机制并执行代码。利用此问题不需要用户交互且范围已更改。
发布日期: 2025-08-05 CVSS分数: 10.0 CVE编号: CVE-2025-54253
Autodesk - 3ds Max
描述: 当通过Autodesk 3ds Max解析恶意制作的RBG文件时,可能强制出现越界写入漏洞。恶意行为者可利用此漏洞导致崩溃、数据损坏或在当前进程上下文中执行任意代码。
发布日期: 2025-08-06 CVSS分数: 8.3 CVE编号: CVE-2025-6633
Microsoft - Azure Open AI
描述: Azure OpenAI权限提升漏洞
发布日期: 2025-08-07 CVSS分数: 10.0 CVE编号: CVE-2025-53767
NVIDIA - Triton Inference Server
描述: NVIDIA Triton Inference Server for Windows和Linux包含一个漏洞,攻击者可通过特别制作的输入导致堆栈缓冲区溢出。成功利用此漏洞可能导致远程代码执行、拒绝服务、信息泄露和数据篡改。
发布日期: 2025-08-06 CVSS分数: 9.8 CVE编号: CVE-2025-23310
中危漏洞
Cisco - Cisco Identity Services Engine Software
描述: Cisco ISE和Cisco ISE-PIC的基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者对界面用户进行存储型XSS攻击。此漏洞是由于受影响系统的基于Web的管理界面对用户提供的输入验证不足所致。
发布日期: 2025-08-06 CVSS分数: 5.4 CVE编号: CVE-2025-20331
Huawei - HarmonyOS
描述: 屏幕管理模块中允许设置屏幕旋转方向而无需权限验证的漏洞。影响:成功利用此漏洞可能导致设备屏幕方向被任意设置。
发布日期: 2025-08-06 CVSS分数: 6.2 CVE编号: CVE-2025-54608
低危漏洞
7-Zip - 7-Zip
描述: 25.01之前的7-Zip在提取过程中不总是正确处理符号链接。
发布日期: 2025-08-08 CVSS分数: 3.6 CVE编号: CVE-2025-55188
Dell - SupportAssist OS Recovery
描述: Dell SupportAssist OS Recovery 5.5.14.0之前版本包含敏感信息向未授权参与者暴露漏洞。具有物理访问权限的未经身份验证攻击者可能利用此漏洞,导致信息泄露。
发布日期: 2025-08-06 CVSS分数: 3.5 CVE编号: CVE-2025-38746
尚未分配严重性的漏洞
该部分包含268个尚未分配CVSS分数的漏洞条目,涵盖多个厂商和产品,包括:
- 4C Strategies Exonaut中的不安全权限和目录遍历漏洞
- ActFax Server中的堆栈缓冲区溢出漏洞
- Advanced Custom Fields WordPress插件中的远程文件包含漏洞
- Apache CXF中的JMS配置漏洞
- 以及其他多个产品的安全漏洞
这些漏洞涉及各种安全问题,包括命令注入、路径遍历、身份验证绕过、信息泄露等。建议用户关注相关厂商的安全公告并及时应用补丁。