2025年9月第二周网络安全漏洞深度解析

美国CISA发布的2025年9月第二周漏洞汇总报告,详细披露了Adobe、Microsoft、Cisco等厂商的246个高危漏洞,涵盖代码执行、权限提升、SQL注入等安全威胁,为企业安全防护提供重要参考。

漏洞概览

美国网络安全和基础设施安全局(CISA)于2025年9月15日发布了当周漏洞汇总报告(文档ID:SB25-258)。该报告基于通用漏洞披露(CVE)命名标准,按照通用漏洞评分系统(CVSS)标准按严重程度组织,提供了过去一周记录的新漏洞摘要。

漏洞严重程度分类

  • 高危漏洞:CVSS基础评分7.0-10.0
  • 中危漏洞:CVSS基础评分4.0-6.9
  • 低危漏洞:CVSS基础评分0.0-3.9

高危漏洞分析(显示246个条目中的246个)

Adobe产品漏洞

Acrobat Reader(CVE-2025-54257)

  • 版本影响:24.001.30254、20.005.30774、25.001.20672及更早版本
  • 漏洞类型:释放后使用(Use After Free)
  • 影响:可能导致当前用户上下文中的任意代码执行
  • CVSS评分:7.8

Adobe Commerce(CVE-2025-54236)

  • 版本影响:2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15及更早版本
  • 漏洞类型:输入验证不当
  • 影响:可实现会话劫持,机密性和完整性影响提升至高
  • CVSS评分:9.1

ColdFusion(CVE-2025-54261)

  • 版本影响:2025.3、2023.15、2021.21及更早版本
  • 漏洞类型:路径遍历
  • 影响:可能导致攻击者执行任意代码
  • CVSS评分:9.0

Microsoft产品漏洞

.NET 6.0(CVE-2025-36854)

  • 漏洞类型:释放后使用
  • 影响:在关闭HTTP/3流而应用程序代码正在写入响应体时,竞争条件可能导致释放后使用,从而导致远程代码执行
  • CVSS评分:8.1

Azure Connected Machine Agent(CVE-2025-49692)

  • 漏洞类型:访问控制不当
  • 影响:允许经过身份验证的攻击者在本地提升权限
  • CVSS评分:7.8

Microsoft HPC Pack 2019(CVE-2025-55232)

  • 漏洞类型:反序列化不受信任数据
  • 影响:允许未经授权的攻击者通过网络执行代码
  • CVSS评分:9.8

网络设备漏洞

Cisco IOS XR Software(CVE-2025-20340)

  • 漏洞类型:ARP实现漏洞
  • 影响:允许未经身份验证的相邻攻击者触发广播风暴,导致受影响设备上的拒绝服务条件
  • CVSS评分:7.4

D-Link DIR-823X(CVE-2025-10123)

  • 版本影响:最高至250416
  • 漏洞类型:命令注入
  • 影响:通过操纵Hostname参数导致命令注入
  • CVSS评分:7.3

开源软件漏洞

axios(CVE-2025-58754)

  • 版本影响:1.11.0之前版本
  • 漏洞类型:当给定具有data:方案的URL时,Node http适配器将整个有效负载解码到内存中,忽略maxContentLength/maxBodyLength限制
  • 影响:攻击者可提供非常大的data: URI,导致进程分配无限制内存并崩溃(DoS)
  • CVSS评分:7.5

CoreDNS(CVE-2025-58063)

  • 版本影响:1.2.0至1.12.4之前
  • 漏洞类型:TTL混淆漏洞
  • 影响:etcd插件错误地将租约ID用作TTL值,启用DNS缓存固定攻击
  • CVSS评分:7.1

中危漏洞(显示256个条目中的256个)

Adobe产品中危漏洞

Acrobat Reader(CVE-2025-54255)

  • 漏洞类型:安全设计原则违反
  • 影响:可能导致安全功能绕过
  • CVSS评分:4.0

Adobe Experience Manager(多个CVE)

  • 漏洞类型:不正确的授权、输入验证不当、服务器端请求伪造(SSRF)、存储型XSS
  • CVSS评分范围:4.3-6.5

其他厂商中危漏洞

Cisco IOS XR Software(CVE-2025-20248)

  • 漏洞类型:安装过程中的验证不足
  • 影响:允许经过身份验证的本地攻击者绕过Cisco IOS XR软件镜像签名验证并在受影响设备上加载未签名的软件
  • CVSS评分:6.0

低危漏洞(显示36个条目中的36个)

代表性低危漏洞

Ascensio System SIA OnlyOffice(CVE-2025-10254)

  • 版本影响:最高至12.7.0
  • 漏洞类型:跨站脚本(XSS)
  • 影响:SVG图像处理组件中的XSS漏洞
  • CVSS评分:3.5

IBM QRadar SIEM(CVE-2025-0164)

  • 版本影响:7.5至7.5 Update Pack 13 Independent Fix 01
  • 漏洞类型:权限分配不当
  • 影响:允许本地特权用户对配置文件执行未经授权的操作
  • CVSS评分:2.3

技术架构分析

漏洞分布特点

  1. 软件类型分布

    • 办公软件和PDF阅读器(Adobe系列)
    • 操作系统和开发框架(Microsoft系列)
    • 网络设备和路由器(Cisco、D-Link等)
    • Web应用程序和内容管理系统
    • 开源库和框架

  2. 攻击向量

    • 本地攻击(需要本地访问权限)
    • 网络攻击(远程可利用)
    • 社会工程学攻击(需要用户交互)

  3. 影响范围

    • 权限提升
    • 远程代码执行
    • 信息泄露
    • 拒绝服务
    • 安全功能绕过

防护建议

  1. 及时更新:所有列出的受影响产品都应尽快应用相关厂商发布的安全补丁
  2. 最小权限原则:按照最小权限原则配置系统和应用程序权限
  3. 深度防御:实施多层安全控制,减少单一漏洞的影响范围
  4. 安全监控:加强安全监控和日志分析,及时发现潜在攻击行为

总结

本周漏洞报告显示了软件生态系统中持续存在的安全挑战,特别是:

  • Adobe和Microsoft等大型软件厂商的产品仍然存在严重安全漏洞
  • 网络设备和IoT设备的安全问题日益突出
  • 开源软件组件的安全需要更多关注
  • 企业应建立系统化的漏洞管理流程,及时应对新发现的安全威胁

该报告为企业安全团队提供了重要的威胁情报,有助于优先处理最严重的安全风险,加强整体安全防护态势。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次