各大廠牌軟硬體高風險弱點摘要 |
| 廠牌 | 軟硬體型號 | 弱點數量 | 說明 | CVE ID |
| Amazon | Amazon Ion Dotnet | 1 | 使用 RawBinaryReader 類別透過 Amazon.IonDotnet 讀取二進位 Ion 資料時,Amazon.IonDotnet 在反序列化二進位格式時不會檢查從底層流讀取的位元組數。如果 Ion 資料格式錯誤或被截斷,則會觸發無限循環條件,可能會導致拒絕服務。使用者應升級至 Amazon.IonDotnet 版本 1.3.1,並確保修補任何分叉或衍生程式碼以包含新的修復程式。 | CVE-2025-3857
|
| GitLab | GitLab | 1 | GitLab EE/CE 中發現一個問題,該問題可能允許攻擊者追蹤使用者的瀏覽活動,從而可能導致完全接管帳戶,影響 16.6 到 17.9.7 之前、17.10 到 17.10.5 之前以及 17.11 到 17.11.1 之前的所有版本。 | CVE-2025-1908
|
| IBM | Hardware Management Console - Power Systems | 1 | IBM 硬體管理主控台 - Power Systems V10.2.1030.0 和 V10.3.1050.0 可能因為對不受信任來源的函式庫驗證不當而允許本機使用者在本機執行指令。 | CVE-2025-1950
|
| IBM | Hardware Management Console - Power Systems | 1 | IBM 硬體管理主控台 - Power Systems V10.2.1030.0 和 V10.3.1050.0 可能允許本機使用者以特權使用者身分執行指令,因為執行指令時具有不必要的權限。 | CVE-2025-1951
|
| NVIDIA | NeMo Framework | 1 | NVIDIA NeMo 框架包含一個弱點,使用者可以透過遠端程式碼執行導致不受信任的資料反序列化。成功利用此弱點可能會導致程式碼執行和資料篡改。 | CVE-2025-23249
|
| NVIDIA | NeMo Framework | 1 | NVIDIA NeMo 框架包含一個弱點,攻擊者可以透過任意檔案寫入導致路徑名稱被不當限製到受限目錄。成功利用此弱點可能會導致程式碼執行和資料篡改。 | CVE-2025-23250
|
| NVIDIA | NeMo Framework | 1 | NVIDIA NeMo 框架包含一個弱點,使用者可能透過遠端程式碼執行導致對程式碼產生的控制不當。成功利用此弱點可能會導致程式碼執行和資料篡改。 | CVE-2025-23251
|
| PHPGurukul | COVID19 Testing Management System | 1 | PHPGurukul COVID19 測試管理系統 1.0 發現了一個被列為嚴重的弱點。受此弱點影響的是檔案 /add-phlebotomist.php 的未知功能。對參數 empid 的操作會導致 SQL 注入。攻擊可以遠端發動。該弱點已被公開並可能被利用。 | CVE-2025-3971
|
| PHPGurukul | COVID19 Testing Management System | 1 | PHPGurukul COVID19 檢測管理系統 1.0 發現了一個弱點,該弱點被歸類為嚴重弱點。受此問題影響的是文件 /bwdates-report-result.php 的一些未知功能。對參數 todate 的操作會導致 SQL 注入。攻擊可能是遠程發起的。該弱點已被公開並可能被利用。其他參數也可能受到影響。 | CVE-2025-3972
|
| PHPGurukul | COVID19 Testing Management System | 1 | PHPGurukul COVID19 檢測管理系統 1.0 發現了一個弱點,該弱點被歸類為嚴重弱點。這會影響文件 /check_availability.php 的未知部分。對參數 mobnumber 的操作會導致 SQL 注入。可以遠端發動攻擊。該弱點已被公開並可能被利用。其他參數也可能受到影響。 | CVE-2025-3973
|
| PHPGurukul | COVID19 Testing Management System | 1 | PHPGurukul COVID19 偵測管理系統 1.0 發現一個弱點,並被歸類為嚴重弱點。此弱點影響檔案 /edit-phlebotomist.php?pid=11 的未知程式碼。對參數 mobilenumber 的操作會導致 SQL 注入。攻擊可以遠端發動。該弱點已被公開並可能被利用。其他參數也可能受到影響。 | CVE-2025-3974
|
| PHPGurukul | COVID19 Testing Management System | 1 | PHPGurukul COVID19 測試管理系統 1.0 發現一個弱點。它已被列為危急。受影響的是檔案 /new-user-testing.php 的未知功能。對參數 mobilenumber 的操作會導致 SQL 注入。可以遠端發動攻擊。該弱點已被公開並可能被利用。其他參數也可能受到影響。 | CVE-2025-3976
|
| Red Hat | Red Hat | 1 | 在 Moodle 中發現了一個漏洞。該漏洞存在於 Moodle 學習管理系統(LMS)的 Dropbox 儲存庫 中,具有遠端程式碼執行(Remote Code Execution, RCE)風險。 | CVE-2025-3641
|
| Red Hat | Red Hat | 1 | 在 Moodle 中發現了一個安全漏洞。該漏洞存在於 Moodle 學習管理系統(LMS)的 EQUELLA 儲存庫 中,具有遠端程式碼執行(Remote Code Execution, RCE)風險。 | CVE-2025-3642
|
| Red Hat | Red Hat | 1 | 在 Moodle 中發現了一個缺陷,在某些網站上,未經身份驗證的使用者可以透過特定 API 呼叫所返回的堆疊追蹤,取得敏感的使用者資料——包括姓名、聯絡資訊和雜湊後的密碼。若 PHP 的 `php.ini` 設定檔中設定為 `zend.exception_ignore_args = 1`,則不受此漏洞影響。 | CVE-2025-32044
|
| Red Hat | Red Hat | 1 | 在 Moodle 中發現了一個安全漏洞,可能讓駭客取得有關學生的敏感資訊,並阻止他們登入帳戶,即使他們已完成兩步驟驗證(2FA)後仍然無法登入。 | CVE-2025-3625
|
| Samba | ppp | 1 | ppp 2.5.2 之前版本中的 pppd 所使用的 passprompt 插件在處理權限時存在缺陷。 | CVE-2024-58250
|
| SAP_SE | SAP NetWeaver (Visual Composer development server) | 1 | SAP NetWeaver Visual Composer 的 Metadata Uploader 缺乏適當的授權保護,允許未經身份驗證的代理上傳可能具有惡意的可執行二進位檔,這可能對主機系統造成嚴重危害。此漏洞可能對目標系統的機密性、完整性與可用性產生重大影響。 | CVE-2025-31324
|
| TOTOLINK | N150RT | 1 | 在 TOTOLINK N150RT 3.4.0-B20190525 中發現了一個被歸類為**嚴重等級(critical)**的漏洞。受影響的是檔案 `/boafrm/formPortFw` 中的一個未知功能。對參數 `service_type` 的操控會導致**緩衝區溢位(buffer overflow)**。 此漏洞**可被遠端利用**,且**漏洞利用方式已公開**,因此可能被惡意人士加以利用。 | CVE-2025-3988
|
| TOTOLINK | N150RT | 1 | 在 TOTOLINK N150RT 3.4.0-B20190525 中發現了一個被歸類為**嚴重等級(critical)**的漏洞。此漏洞影響檔案 `/boafrm/formStaticDHCP` 中的一項未知功能。對參數 `Hostname` 的操控會導致**緩衝區溢位(buffer overflow)**。 該攻擊**可遠端發起**,且**漏洞利用程式已公開**,因此可能被惡意人士用於實際攻擊。 | CVE-2025-3989
|
| TOTOLINK | N150RT | 1 | 在 TOTOLINK N150RT 3.4.0-B20190525 中發現了一個被歸類為**嚴重等級(critical)**的漏洞。此漏洞影響檔案 `/boafrm/formVlan` 中的某項未知功能。對參數 `submit-url` 的操控會導致**緩衝區溢位(buffer overflow)**。 該攻擊**可遠端發起**,且**漏洞利用程式已公開**,因此可能被惡意人士用來進行攻擊。 | CVE-2025-3990
|
| TOTOLINK | N150RT | 1 | 在 TOTOLINK N150RT 3.4.0-B20190525 中發現了一個被歸類為**嚴重等級(critical)**的漏洞。此漏洞影響檔案 `/boafrm/formWdsEncrypt` 中的一個未知部分。對參數 `submit-url` 的操控會導致**緩衝區溢位(buffer overflow)**。 該攻擊**可遠端發起**,且**漏洞利用程式已公開**,因此可能被惡意人士用來進行攻擊。 | CVE-2025-3991
|
| Zyxel | USG FLEX H series uOS firmware | 1 | 在 USG FLEX H 系列 uOS 韌體版本 V1.20 至 V1.31 的 PostgreSQL 命令中,發現了一個**不正確的權限指派漏洞**。此漏洞可能允許一個已驗證的本地攻擊者(權限較低)透過精心構造的惡意腳本或修改系統配置,利用竊取的令牌獲得 Linux shell 存取權並提升權限,從而獲得管理員級別的訪問。 修改系統配置只有在管理員未登出且令牌保持有效時才可能實現。 | CVE-2025-1731
|
