文章总结： CNVD发布上周高危漏洞预警，涉及MicrosoftOffice系列代码执行漏洞及IntelQAT权限提升漏洞。境内厂商方面，Tenda与D-Link路由器存在缓冲区溢出或命令注入漏洞，帆软全系产品曝命令注入风险。建议用户尽快修复以防止系统被控。 综合评分： 60 文章分类： 漏洞预警,漏洞分析,网络安全

上周关注度较高的产品安全漏洞(20251215-20251221)

原创

CNVD

CNVD漏洞平台

2025年12月22日 18:19 北京

一、境外厂商产品漏洞

1、Microsoft Excel代码执行漏洞（CNVD-2025-30653）

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞，该漏洞是由于不受信任的指针解引用缺陷引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30653

2、Microsoft Word代码执行漏洞（CNVD-2025-30662）

Microsoft Word是美国微软（Microsoft）公司的一套Office套件中的文字处理软件。Microsoft Word存在代码执行漏洞。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30662

3、Microsoft Office代码执行漏洞（CNVD-2025-30660）

Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Office存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30660

4、Intel QAT software代码问题漏洞

Intel QAT software是指支持英特尔QuickAssist技术的软件组件集合。Intel QAT software存在代码问题漏洞，该漏洞源于搜索路径未受控，攻击者可利用该漏洞导致本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30763

5、Intel QAT Windows software越界写入漏洞

Intel QAT Windows software是指为Windows操作系统提供支持的英特尔®数据保护与压缩加速技术的软件组件集合。Intel QAT Windows software存在越界写入漏洞，该漏洞源于用户应用程序中存在越界写入，攻击者可利用该漏洞导致权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30762

二、境内厂商产品漏洞

1、Tenda AC21缓冲区溢出漏洞（CNVD-2025-30948）

Tenda AC21是中国腾达（Tenda）公司的一款无线路由器。Tenda AC21存在缓冲区溢出漏洞，该漏洞源于文件/goform/WifiExtraSet中函数sub_45BB10的参数wpapsk_crypto未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30948

2、帆软软件有限公司FineReport、FineBI及FineDataLink存在命令注入漏洞

FineReport是一款领先的企业级Web报表工具。FineBI是新一代自助式BI工具。FineDataLink是一款低代码/高时效的企业级一站式数据集成与治理平台产品。帆软软件有限公司FineReport、FineBI及FineDataLink存在命令注入漏洞，攻击者可利用漏洞在服务器上执行任意系统命令，获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30834

3、Tenda FH1202 fromAddressNat方法栈缓冲区溢出漏洞

Tenda FH1202是腾达品牌推出的一款双频无线路由器，专为大户型家庭或小型办公环境设计，旨在提供稳定的无线网络覆盖和高速传输。Tenda FH1202存在栈缓冲区溢出漏洞，该漏洞源于fromAddressNat方法的entrys参数存在缓冲区溢出问题。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30676

4、Tenda FH1205 saveParentControlInfo方法栈缓冲区溢出漏洞

Tenda FH1205是中国腾达公司推出的一款家庭无线路由器，面向普通家庭网络环境，提供无线连接功能。Tenda FH1205存在栈缓冲区溢出漏洞，该漏洞源于saveParentControlInfo方法的time参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30671

5、D-Link DIR-823G命令注入漏洞（CNVD-2025-30949）

D-Link DIR-823G是中国友讯（D-Link）公司的一款无线路由器。D-Link DIR-823G存在命令注入漏洞，攻击者可利用该漏洞在设备上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30949

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD《上周关注度较高的产品安全漏洞(20251215-20251221)》