信息安全漏洞周报【第053期】

admin 2025-12-27 01:51:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本周报披露了ApacheHugeGraph-Server反序列化漏洞、华为HarmonyOS/EMUI竞争条件漏洞及访客管理系统SQL注入漏洞。这些高危漏洞可能导致远程代码执行或数据窃取。厂商均已发布修复方案,建议用户及时更新补丁以保障系统安全。 综合评分: 78 文章分类: 漏洞预警,漏洞分析,威胁情报


cover_image

信息安全漏洞周报【第053期】

零零捌信安观察

银天信息

2025年12月26日 16:17 湖南

零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。

        收录的漏洞详细信息如下:

| | | | | | — | — | — | — | | 1.Apache HugeGraph-Server反序列化漏洞 | | | | | 公开时间 | 2025-12-25 | 风险等级 | 高危 | | 漏洞编号 | CNVD-2025-31387 | 漏洞来源 | CNVD | | 漏洞信息 | | | | | 漏洞描述 | Apache HugeGraph-Server是Apache基金会的一个图数据库的服务端进程。 Apache HugeGraph-Server存在反序列化漏洞,该漏洞源于PD存储中不安全的Hessian反序列化,攻击者可利用该漏洞导致远程代码执行。 | | | | 影响产品 | Apache HugeGraph-Server | | | | 解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/ko8jkwbjbb99m45pg4sgo5xsm8gx9nsq | | | | 参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2025-26866 | | |

| | | | | | — | — | — | — | | 2.Huawei HarmonyOS/EMUI竞争条件漏洞(CNVD-2025-31138) | | | | | 公开时间 | 2025-12-22 | 风险等级 | 高危 | | 漏洞编号 | CVE-2023-52553 | 漏洞来源 | CNVD | | 漏洞信息 | | | | | 漏洞描述 | Huawei HarmonyOS是华为技术有限公司自主研发的面向全场景的分布式操作系统。Huawei EMUI是华为基于Android(安卓)进行开发的情感化操作系统。 Huawei HarmonyOS/EMUI存在竞争条件漏洞,该漏洞源于WIFI模块存在条件竞争漏洞。攻击者可利用该漏洞影响可用性。 | | | | 影响产品 | Huawei EMUI 12.0.0 Huawei HarmonyOS 2.1.0 Huawei HarmonyOS 3.0.0 Huawei HarmonyOS 2.0.0 Huawei HarmonyOS 3.1.0 Huawei EMUI 13.0.0 Huawei HarmonyOS 4.0.0 | | | | 解决方案 | 目前厂商已发布升级程序修复该安全问题,详情见厂商官网: https://consumer.huawei.com/en/support/bulletin/2024/3/ | | | | 参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2023-52553 | | |

| | | | | | — | — | — | — | | 3.Company Visitor Management System /bwdates-reports-details.php文件SQL注入漏洞 | | | | | 公开时间 | 2025-12-23 | 风险等级 | 高危 | | 漏洞编号 | CNVD-2025-27459 | 漏洞来源 | CNVD | | 漏洞信息 | | | | | 漏洞描述 | Company Visitor Management System是一个访客管理系统。 Company Visitor Management System存在SQL注入漏洞,该漏洞源于文件/bwdates-reports-details.php中参数fromdate/todate缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。 | | | | 影响产品 | Company Visitor Management System Company Visitor Management System 1.0 | | | | 解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://phpgurukul.com/ | | | | 参考链接 | https://github.com/zzb1388/zzb1/issues/8 | | |

服务热线:400-996-5191

供稿:朱裕溶

编校:周晶晶

审核:李孔民


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:银天信息 零零捌信安观察《信息安全漏洞周报【第053期】》

评论:0   参与:  0