| 弱点名称 |
| Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability (Critical) |
► 摘要:Microsoft Dynamics 365 Sales存在伺服端请求伪造漏洞(Server-Side Request Forgery,SSRF),已登入的攻击者可提升权限或存取非授权范围。
► CVE 编号:CVE-2025-21177
► 受影响厂商:Microsoft
► 受影响产品:Dynamics 365 Sales
► Dynamics 365 Sales受影响,Microsoft已修正,使用者无需采取任何作业。
► 修补说明:Microsoft于2025/2/6发布此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21177) |
| Azure AI Face Service Elevation of Privilege Vulnerability (Critical) |
► 摘要:Azure AI Face Service 存在身份验证绕过漏洞,允许已登入的攻击者通过伪冒方式以提升权限。
► CVE 编号:CVE-2025-21415
► 受影响厂商:Microsoft
► 受影响产品:Azure AI Face Service
► Azure AI Face Service受影响,Microsoft已修正,使用者无需采取任何作业。
► 修补说明:Microsoft于2025/1/29发布此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21415 ) |
| Microsoft Account Elevation of Privilege Vulnerability |
► 摘要:Microsoft Account服务存在授权疏漏漏洞,未登入远端攻击者得以登入使用者帐号并提升权限。
► CVE 编号:CVE-2025-21396
► 受影响厂商:Microsoft
► 受影响产品:Microsoft Account
► Microsoft Account受影响,Microsoft已修正,使用者无需采取任何作业。
► 补充说明:近期观察到有攻击者针对Microsoft Account进行攻击,建议使用者加强帐号安全性,包含使用强密码并定期更换、启用多因子互动验证 / Authenticator、留意帐号活动事件,与强化相关装置安全等。(参考连结)
► 修补说明:Microsoft于2025/2/6更新此漏洞。(详细请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21396 ) |
| Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities (Critical) |
► 摘要:Cisco Identity Services Engine (ISE) 存在Java解序列化不当漏洞(Insecure Deserialization of Data),已登入的远端攻击者可得以执行任意命令,并在受影响的设备上提升权限。
► CVE 编号:CVE-2025-20124、CVE-2025-20125
► 受影响厂商:Cisco
► 受影响产品:Cisco ISE Software
► Cisco ISE Software 3.0或更早版本皆受影响,建议升级或移转至修正版本。
► Cisco ISE Software 3.1版本受影响,升级至3.1P10版本修正。
► Cisco ISE Software 3.2版本受影响,升级至3.2P7版本修正。
► Cisco ISE Software 3.3版本受影响,升级至3.3P4版本修正。
► 修补说明:Cisco于2025/2/5公告此漏洞。(详细请参考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF) |
| Cisco NX-OS Software Image Verification Bypass Vulnerability (Updated) |
► 摘要:Cisco NX-OS 的引导程序(bootloader)存在权限控制不当漏洞,允许未经身份验证的攻击者(若可远端连入管理界面),或者具备管理员权限的本地攻击者,绕过 NX-OS 映像档验证,甚至得以加载恶意程式。
► CVE 编号:CVE-2024-20397
► 受影响厂商:Cisco
► 受影响产品:MDS 9000 Series Multilayer Switches、Nexus 3000 Series Switches、Nexus 7000 Series Switches、Nexus 9000 Series Fabric Switches in ACI mode、Nexus 9000 Series Switches in standalone NX-OS mode、UCS 6400 Series Fabric Interconnects、UCS 6500 Series Fabric Interconnects
► 详细设备型号、修正版本和更新资讯,请参阅公告。
► 修补说明:Cisco于2025/2/6更新此漏洞。(详细请参考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-image-sig-bypas-pQDRQvjL) |
| Cisco IOS, IOS XE, and IOS XR Software SNMP Denial of Service Vulnerabilities |
► 摘要:Cisco IOS、Cisco IOS XE和Cisco IOS XR中,Simple Network Management Protocol (SNMP) 存在数项漏洞,已登入的远端攻击者可在受影响设备造成阻绝服务现象 (DoS)。
► CVE 编号:CVE-2025-20169、CVE-2025-20170、CVE-2025-20171、CVE-2025-20172、CVE-2025-20173、CVE-2025-20174、CVE-2025-20175、CVE-2025-20176
► 受影响厂商:Cisco
► 受影响产品:Cisco IOS、Cisco IOS XE、Cisco IOS XR
► Cisco IOS Software 15.2E版本受影响,升级至15.2(7)E12版本修正。
► Cisco IOS Software 15.5SY版本受影响,升级至15.5(1)SY15版本修正。
► Cisco IOS Software 15.9M版本受影响,升级至15.9(3)M11版本修正。
► Cisco IOS XE Software 3.11E版本受影响,升级至3.11.12E版本修正。
► Cisco IOS XE Software 16.12版本受影响,升级至16.12.13版本修正。
► Cisco IOS XE Software 17.9版本受影响,升级至17.9.7版本修正。
► Cisco IOS XE Software 17.12版本受影响,升级至17.12.5版本修正。
► Cisco IOS XE Software 17.15版本受影响,升级至17.15.3版本修正。
► Cisco IOS XR Software 低于24.2 版本受影响,升级至24.2.21版本修正。
► Cisco IOS XR Software 24.3版本受影响,建议升级或移转至修正版本。
► Cisco IOS XR Software 24.4版本受影响,升级至24.4.2版本修正。
► Cisco IOS XR Software 25.2版本受影响,升级至25.2.1版本修正。
► 修补说明:Cisco于2025/2/5发布此漏洞。(详细请参考:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-dos-sdxnSUcW) |
| Veeam Updater Man-in-the-Middle Vulnerability CVE-2025-23114 (Critical) |
► 摘要:Veeam Updater元件存在TLS凭证验证不当漏洞,让攻击者可「中间人攻击」(Man-in-the-Middle, MitM)以执行任意代码,甚至得以在受影响的设备以 root 权限执行操作。
► CVE 编号:CVE-2025-23114
► 受影响厂商:Veeam
► 受影响产品:Veeam Backup for Salesforce、Veeam Backup for Nutanix AHV、Veeam Backup for AWS、Veeam Backup for Microsoft Azure、Veeam Backup for Google Cloud、Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization
► Veeam Backup for Salesforce低于3.1版本受影响,Veeam Updater 元件版本升级至7.9.0.1124版本修正。
► Veeam Backup for Nutanix AHV 5.0、5.1版本受影响,Veeam Updater元件版本升级至9.0.0.1125版本修正。
► Veeam Backup for AWS 6a、7版本受影响,Veeam Updater元件版本升级至9.0.0.1126版本修正。
► Veeam Backup for Microsoft Azure 5a、6版本受影响,Veeam Updater元件版本升级至9.0.0.1128版本修正。
► Veeam Backup for Google Cloud 4、5版本受影响,Veeam Updater元件版本升级至9.0.0.1128版本修正。
► Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization 3、4.0、4.1版本受影响,Veeam Updater元件版本升级至9.0.0.1127版本修正。
► 修补说明:Veeam于2025/2/4发布此漏洞。(详细请参考:https://www.veeam.com/kb4712) |
| Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283) (Critical) |
► 摘要:Ivanti数项产品存在2个缓冲区溢位漏洞(Buffer Overflow),让未登入远端攻击者可远程代码执行攻击,或已登入的攻击者提升权限。
► CVE 编号:CVE-2025-0282、CVE-2025-0283
► 受影响厂商:Ivanti
► 受影响产品:Ivanti Connect Secure、Ivanti Policy Secure、Ivanti Neurons for ZTA gateways
► Ivanti Connect Secure 22.7R2 - 22.7R2.4版本受影响,升级至22.7R2.5版本修正。
► Ivanti Connect Secure低于22.7R2.4 版本、低于9.1R18.9 受影响,升级至22.7R2.5版本修正。
► Ivanti Policy Secure 22.7R1 - 22.7R1.2版本受影响,升级至22.7R1.3版本修正。
► Ivanti Policy Secure低于22.7R1.2版本受影响,升级至22.7R1.3版本修正。
► Ivanti Neurons for ZTA gateways 22.7R2 - 22.7R2.3版本受影响,升级至22.8R2版本修正。
► Ivanti Neurons for ZTA gateways低于22.7R2.3 版本受影响,升级至22.8R2版本修正。
► 修补说明:Ivanti 于2025/1/8公告此漏洞,并于2025/1/21更新。(详细请参考:https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283?language=en_US) |
| SonicWall SMA1000 Pre-Authentication Remote Command Execution Vulnerability (Critical) |
► 摘要:SonicWall SMA1000设备存在解序列化不当漏洞(Insecure Deserialization of Data),让未登入远端攻击者可远程执行任意命令。
► CVE 编号:CVE-2025-23006
► 受影响厂商:SonicWall
► 受影响产品:SMA1000 Appliance Management Console、SMA1000 Central Management Console
► SMA1000低于12.4.3-02804版本受影响,升级至12.4.3-02854以上版本修正。
► 修补说明:SonicWall于2025/1/22发布此漏洞。(详细请参考:https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002) |
| SonicOS Affected By Multiple Vulnerabilities |
► 摘要: SonicWall公告SonicOS数项漏洞:
► CVE-2024-40762:SonicOS SSLVPN使用加密安全不足的Pseudo-Random Number Generator(PRNG)漏洞。
► CVE-2024-53704:SonicOS SSLVPN认证绕过漏洞。
► CVE-2024-53705:SonicOS SSH管理伺服端请求伪造(SSRF)漏洞。
► CVE-2024-53706:Gen7 SonicOS Cloud NSv SSH 设定功能权限提升漏洞。
► CVE 编号:CVE-2024-40762、CVE-2024-53704、CVE-2024-53705、CVE-2024-53706
► 受影响厂商:SonicWall
► 受影响产品:SonicOS
► Gen6 Hardware Firewalls低于6.5.4.15-117n版本受影响,升级至6.5.5.1-6n以上版本修正。
► Gen7 NSv、Gen7 Firewalls低于 7.0.1-5161、7.1.1-7058版本受影响,升级至7.0.1-5165、7.1.3-7015以上版本修正。
► TZ80 8.0.0-8035版本受影响,升级至8.0.0-8037以上版本修正。
► 修补说明:SonicWall于2025/1/30发布此漏洞。(详细请参考:https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0003 ) |
