近日,龙腾攻防实验室监测到CNVD、CNNVD等官方平台发布的安全公告,披露了互联网相关产品的安全漏洞情况,我司收录其中9个常见软件产品高危漏洞。目前官方已发布相关漏洞的补丁或修复措施。
针对此次公告,湖南盈聚安全服务团队可协助贵单位开展专项安全排查工作,并建议采取有效措施进行整改,修复所存在的安全隐患,降低自身网络安全风险。
如需技术支持,请联系湖南盈聚,联系电话:0731-84148999。
一、 Dell BIOS缓冲区溢出漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02575 |
漏洞来源 |
CNVD、CNNVD |
漏洞信息 |
|
1、漏洞概述
Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。
Dell BIOS存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。
2、影响范围
DELL Alienware m15 R6 <1.22.1
DELL Alienware m15 R7 <1.17.0
DELL ChengMing 3900/3901 <1.13.0
DELL Dell G15 5510 <1.19.0
DELL Dell G15 5511 <1.22.1
DELL Dell G15 5520 <1.17.0
DELL Inspiron 14? 5410/5418 <2.19.1
DELL Inspiron 14 Plus 7420 <1.13.0
DELL Inspiron 15 3511 <1.22.1
DELL Inspiron 15 5510/5518 <2.19.1
DELL Inspiron 16 7620 2-in-1 <1.12.1
DELL Inspiron 16 Plus 7620 <1.13.0
DELL Inspiron 3511 <1.22.1
DELL Inspiron 3520 <1.15.0
DELL Inspiron 3891 <1.18.1
DELL Inspiron 3910 <1.13.0
DELL Inspiron 5310 <2.20.1
DELL Inspiron 5320 <1.11.1
DELL Inspiron 5410 <2.19.1
DELL Inspiron 5420 <1.14.1
DELL Inspiron 5620 <1.14.1
DELL Inspiron 7420 <1.12.1
DELL Inspiron 7510 <1.16.1
DELL Inspiron 7610 <1.16.1
DELL Latitude 3120 <1.17.2
DELL Latitude 3320 <1.22.2
DELL Latitude 3330 <1.13.0
DELL Latitude 3420 <1.29.0
DELL Latitude 3430 <1.10.1
DELL Latitude 3520 <1.29.0
DELL Latitude 3530 <1.10.1
DELL Latitude 5320 <1.28.1
DELL Latitude 5330 <1.13.1
DELL Latitude 5520 <1.28.1
DELL Latitude 5530 <1.13.2
DELL Latitude 5531 <1.14.1
DELL Latitude 7330 <1.14.1
DELL Latitude 7430 <1.14.1
DELL Latitude 7530 <1.14.1
DELL Latitude Rugged 5430 <1.18.1
DELL Latitude Rugged 7330 <1.18.1
DELL OptiPlex 3000 <1.13.1
DELL OptiPlex 5000 <1.13.1
DELL OptiPlex 5400 <1.1.28
DELL OptiPlex 7000 <1.13.1
DELL OptiPlex 7000 OEM <1.13.1
DELL OptiPlex 7400 <1.1.28
DELL OptiPlex All-in-One 7410 <1.4.1
DELL Precision 3560 <1.28.1
DELL Precision 3570 <1.13.2
DELL Precision 3571 <1.14.1
DELL Precision 5760 <1.20.1
DELL Precision 5770 <1.17.1
DELL Vostro 3420 <1.15.0
DELL Vostro 3510 <1.22.1
DELL Vostro 3520 <1.15.0
DELL Vostro 3910 <1.13.0
DELL Vostro 5310 <2.20.1
DELL Vostro 5320 <1.11.1
DELL Vostro 5410 <2.19.1
DELL Vostro 5510 <2.19.1
DELL Vostro 5620 <1.14.1
DELL Vostro 7510 <1.16.1
DELL Vostro 7620 <1.13.0
DELL XPS 13 9315 2-in-1 <1.8.1
DELL XPS 17 9710 <1.20.1
DELL XPS 17 9720 <1.17.1
|
处置建议 |
https://www.dell.com/support/kbdoc/en-us/000214778/dsa-2023-174-dell-client-bios-security-update-for-an-out-of-bounds-write-vulnerability |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2023-28064 |
二、 Huawei Myna输入验证错误漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02557 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Huawei Myna是中国华为(Huawei)公司的一款智能音箱。
Huawei Myna存在输入验证错误漏洞,该漏洞源于某模块在某种场景下没有对输入进行充分完整性校验。攻击者可利用该漏洞影响设备的正常服务。
2、影响范围
通用型漏洞
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.huawei.com/cn/psirt/security-advisories/2021/huawei-sa-20210106-01-myna-cn |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2020-9210 |
三、 Huawei HarmonyOS输入验证错误漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02542 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
Huawei HarmonyOS存在安全漏洞,攻击者可利用该漏洞导致可用性受影响。。
2、影响范围
Huawei HarmonyOS 5.0.0
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://consumer.huawei.com/cn/support/bulletin/2025/1/ |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2024-56437 |
四、 Microsoft Windows资源管理错误漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02539 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。
Microsoft Windows upnphost.dll存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。
2、影响范围
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012 R2
Microsoft Window 11
Microsoft Window 10
Microsoft Windows Server 2022 23H2
Microsoft Windows Server 2008 22H2
Microsoft Windows Server 2008 21H2
Microsoft Windows Server 2008 1809
Microsoft Windows Server 2008 1607
Microsoft Windows Server 2022 22H2
Microsoft Windows Server 2022 24H2
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21300
|
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2020-9210 |
五、 Microsoft Windows Secure Boot存在未明漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02537 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Microsoft Windows Secure Boot是美国微软(Microsoft)公司的安全启动。
Microsoft Windows Secure Boot存在安全漏洞。攻击者可利用该漏洞绕过某些功能。
2、影响范围
Microsoft Windows Server 2016
Microsoft Windows Server 2012
Microsoft Windows Server 2022 21H2
Microsoft Windows Server 2012 R2
Microsoft Window 11
Microsoft Window 10
Microsoft Windows Server 2019 22H2
Microsoft Windows Server 2019 23H2
Microsoft Windows Server 2019 24H2
Microsoft Windows Server 2022 22H2
Microsoft Windows Server 2022 1809
Microsoft Windows Server 2022 1607
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21211 |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2025-21211 |
六、 Microsoft Windows Telephony Server
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02538 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Microsoft Windows Telephony Server是美国微软(Microsoft)公司的一个组件,它支持电话应用程序编程接口(TAPI),允许计算机程序与共享的电话服务进行通信。
Microsoft Windows Telephony Server存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
2、影响范围
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012 R2
Microsoft Window 11
Microsoft Window 10
Microsoft Windows Server 2022 23H2
Microsoft Windows Server 2008 22H2
Microsoft Windows Server 2008 21H2
Microsoft Windows Server 2008 1809
Microsoft Windows Server 2008 1607
Microsoft Windows Server 2022 22H2
Microsoft Windows Server 2022 24H2
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21417 |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2025-21417 |
七、 Microsoft Message Queuing拒绝服务漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02134 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。
Microsoft Message Queuing存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。
2、影响范围
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012 R2
Microsoft Window 11
Microsoft Window 10
Microsoft Windows Server 2022 23H2
Microsoft Windows Server 2008 22H2
Microsoft Windows Server 2008 21H2
Microsoft Windows Server 2008 1809
Microsoft Windows Server 2008 1607
Microsoft Windows Server 2022 22H2
Microsoft Windows Server 2022 24H2
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21230 |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2025-21230 |
八、 Microsoft Message Queuing拒绝服务漏洞
发布时间 |
2025-01-21 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02133 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Microsoft MapUrlToZone是美国微软(Microsoft)公司的一个用C++编写的轻量级控制台应用程序。
Microsoft MapUrlToZone存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务。
2、影响范围
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012 R2
Microsoft Window 11
Microsoft Window 10
Microsoft Windows Server 2022 23H2
Microsoft Windows Server 2008 22H2
Microsoft Windows Server 2008 21H2
Microsoft Windows Server 2008 1809
Microsoft Windows Server 2008 1607
Microsoft Windows Server 2022 22H2
Microsoft Windows Server 2022 24H2
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21276 |
参考链接 |
https://nvd.nist.gov/vuln/detail/CVE-2025-21276 |
九、 Northstar Club Management操作系统命令注入漏洞
发布时间 |
2025-02-07 |
风险等级 |
高危 |
漏洞编号 |
CNVD-2025-02594 |
漏洞来源 |
CNVD |
漏洞信息 |
|
1、漏洞概述
Northstar Club Management是美国北极星(Northstar)公司的一个基于 Web 的解决方案,让企业可以管理俱乐部的所有元素,例如会员资格、客人、活动等。
Northstar Club Management 6.3版本存在操作系统命令注入漏洞,该漏洞源于软件针对于command和commandvalues参数缺少有效的过滤与转义。攻击者可利用该漏洞进行参数注入和执行任意系统命令。
2、影响范围
globalnorthstar northstar club management 6.3
|
处置建议 |
厂商已发布了漏洞修复程序,请及时关注更新:
https://ardent-security.com/en/advisory/asa-2021-01/ |
参考链接 |
https://ardent-security.com |
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
