漏洞概况
美国网络安全和基础设施安全局(CISA)于2025年9月15日发布了当周漏洞汇总公告(文档ID:SB25-258)。该公告汇总了过去一周记录的新漏洞,基于通用漏洞披露(CVE)命名标准,并按通用漏洞评分系统(CVSS)标准确定的严重程度进行组织。
漏洞严重程度分类
- 高危漏洞:CVSS基础评分7.0-10.0
- 中危漏洞:CVSS基础评分4.0-6.9
- 低危漏洞:CVSS基础评分0.0-3.9
高危漏洞分析
Adobe产品系列漏洞
Acrobat Reader(CVE-2025-54257)
- 类型:释放后使用漏洞
- 影响版本:24.001.30254、20.005.30774、25.001.20672及更早版本
- CVSS评分:7.8
- 影响:可能导致当前用户上下文中的任意代码执行
Adobe Commerce(CVE-2025-54236)
- 类型:输入验证不当
- 影响版本:2.4.9-alpha2、2.4.8-p2等
- CVSS评分:9.1
- 影响:会话劫持,机密性和完整性影响提升至高
ColdFusion(CVE-2025-54261)
- 类型:路径遍历漏洞
- 影响版本:2025.3、2023.15、2021.21及更早版本
- CVSS评分:9.0
- 影响:攻击者可实现任意代码执行
Microsoft产品漏洞
.NET 6.0(CVE-2025-36854)
- 类型:释放后使用漏洞
- 影响版本:6.0.0至6.0.36
- CVSS评分:8.1
- 影响:远程代码执行
Microsoft Office 2019(CVE-2025-54910)
- 类型:堆缓冲区溢出
- CVSS评分:8.4
- 影响:本地任意代码执行
Windows 10 Version 1809(多个CVE)
- 类型:整数溢出、竞争条件、访问控制不当等
- CVSS评分:7.0-8.8
- 影响:权限提升、代码执行
网络设备漏洞
Cisco IOS XR Software(CVE-2025-20340)
- 类型:ARP实现漏洞
- CVSS评分:7.4
- 影响:通过向管理接口发送过多流量导致拒绝服务
D-Link DIR-823X(CVE-2025-10123)
- 类型:命令注入
- 影响版本:至250416
- CVSS评分:7.3
- 影响:远程命令执行
工业控制系统漏洞
Siemens SIMATIC PCS neo(CVE-2025-40795)
- 类型:栈缓冲区溢出
- 影响版本:V4.1、V5.0所有版本
- CVSS评分:9.8
- 影响:未经身份验证的远程攻击者可执行任意代码
Bender CC612(CVE-2025-41682)
- 类型:默认配置不安全
- CVSS评分:8.8
- 影响:经过身份验证的低权限攻击者可获取存储的凭据
中危漏洞概览
本周共报告256个中危漏洞,主要涉及:
- 跨站脚本(XSS)漏洞:多个WordPress插件和Web应用
- 权限验证缺失:各种管理系统和应用程序
- 信息泄露:配置错误和输入验证不足
- 有限的代码执行:在特定条件下的命令注入
低危漏洞汇总
本周共报告36个低危漏洞,主要包括:
- 跨站脚本:影响有限的信息泄露
- 路径遍历:有限的目录遍历能力
- 弱密码要求:安全性较差的密码策略
安全建议
- 及时更新补丁:关注各厂商发布的安全更新,特别是Adobe、Microsoft、Cisco等主流厂商
- 权限最小化:遵循最小权限原则,限制用户和系统组件的访问权限
- 输入验证:对所有用户输入进行严格验证和清理
- 网络分段:对关键系统进行网络隔离,减少攻击面
- 安全监控:部署安全监控系统,及时发现异常行为
总结
本周漏洞报告显示,软件供应链安全仍是重要关注点,特别是常用软件和框架中的漏洞可能对企业和个人用户造成严重影响。建议组织建立完善的漏洞管理流程,定期评估系统安全性,并及时应用安全补丁。