|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的授權弱點影響可能導致特權升級。攻擊者可以利用這種脆弱性繞過安全措施並獲得未經授權的存取。 | CVE-2025-24434
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的人受到不當授權弱點的影響,可能會導致安全功能旁路。攻擊者可以利用這種脆弱性繞過安全措施並獲得未經授權的存取,從而導致機密性和誠信影響。 | CVE-2025-24409
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24410
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1,2.4.7-P3,2.4.6-P8,2.4.5-P10,2.4.4-P11及更早的影響受到不當存取控制弱點的影響,這可能會導致安全功能旁路。攻擊者可以利用這種脆弱性來繞過安全措施並獲得未經授權的存取。 | CVE-2025-24411
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24412
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24413
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24414
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24415
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24416
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。 | CVE-2025-24417
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的及更早的授權弱點影響可能導致特權升級。低調的攻擊者可以利用這種脆弱性來繞過安全措施並獲得未經授權的存取。對此問題的開發不需要用戶互動。 | CVE-2025-24418
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的及更早的影響會受到存儲的跨站點腳本(XSS )弱點的影響被低特權攻擊者濫用,將惡意腳本注入脆弱的形式字段。惡意JavaScript瀏覽包含脆弱字段的頁面時,可能會在受害者的瀏覽器中執行。成功的攻擊者可以濫用這一點,以實現會議接管,從而增加了機密性和誠信的影響。 | CVE-2025-24438
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1,2.4.7-P3,2.4.6-P8,2.4.5-P10,2.4.4-P11及更早的人受到路徑名對受限目錄的不當限制('PATH )的影響(路徑遍歷')弱點,可能導致安全功能旁路。攻擊者可以利用此弱點來修改限制目錄之外存儲的文件。對此問題的開發不需要用戶互動。 | CVE-2025-24406
|
| Adobe | Adobe Commerce | 1 | Adobe Commerce版本2.4.7-BETA1、2.4.7-P3、2.4.6-P8、2.4.5-P10、2.4.4-P11及更早的人受到不正確的授權弱點的影響,可能會導致安全功能旁路。攻擊者可以利用這種脆弱性來執行未授予的權限的行動。對此問題的開發不需要用戶互動。 | CVE-2025-24407
|
| Adobe | Illustrator | 1 | Illustrator版本29.1、28.7.3及更早的版本受到自由弱點的用途影響,這可能會在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21159
|
| Adobe | Illustrator | 1 | Illustrator版本29.1、28.7.3及更早的版本受整數下流(包裝或環繞式)弱點的影響,該弱點可能會導致在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21160
|
| Adobe | Illustrator | 1 | Illustrator版本29.1、28.7.3和更早的版本受到基於堆棧的緩衝區溢位弱點的影響,該弱點可能會在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21163
|
| Adobe | InCopy | 1 | Incopy版本20.0、19.5.1和更早的版本受整數下流(包裹或環繞式)弱點的影響,該弱點可能會導致在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21156
|
| Adobe | InDesign Desktop | 1 | Indesign Desktop版本ID20.0,ID19.5.1及更早的人受到基於堆疊的緩衝區溢位弱點的影響,該弱點可能在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21121
|
| Adobe | InDesign Desktop | 1 | Indesign Desktop版本ID20.0,ID19.5.1及更早的影響受到基於堆的緩衝區溢位弱點的影響,該弱點可能在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21123
|
| Adobe | InDesign Desktop | 1 | Indesign Desktop版本ID20.0,ID19.5.1及更早的人受到基於堆疊的緩衝區溢位弱點的影響,該弱點可能在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21157
|
| Adobe | InDesign Desktop | 1 | Indesign Desktop版本ID20.0,ID19.5.1及更早的IDSIGN版本受整數下流(包裹或環繞式)弱點的影響,這些弱點可能會導致在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21158
|
| Adobe | Substance3D - Designer | 1 | Queltance3D-Designer版本14.0.2及更早的版本受到基於堆疊的緩衝區溢位弱點的影響,該弱點可能在當前用戶的上下文中導致任意程式碼執行。對此問題的開發需要用戶互動,因為受害者必須打開惡意文件。 | CVE-2025-21161
|
| AMD | AIM-T (AMD Integrated Management Technology) software | 1 | AMD集成管理技術(AIM-T)可管理性服務中劫持弱點的DLL弱點可以使攻擊者實現可能導致任意程式碼執行的特權升級。 | CVE-2023-31361
|
| AMD | AIM-T(AMD Integrated Management Technology) software | 1 | AMD集成管理技術(AIM-T)可管理性服務安裝目錄中的錯誤默認權限可以使攻擊者能夠實現特權升級,從而可能導致任意執行。 | CVE-2023-31360
|
| AMD | AMD EPYC 7001 Processors | 1 | AMDPPPP2CMBoxv2驅動程序中的輸入驗證不當可能允許特權攻擊者覆蓋SMRAM,從而導致任意程式碼執行。 | CVE-2024-21925
|
| AMD | AMD EPYC 7002 Processors | 1 | AMDPlatFormrassSMM驅動程序中的SMM呼叫弱點可以允許RING 0攻擊者修改引導服務處理程序,從而可能導致任意程式碼執行。 | CVE-2024-21924
|
| AMD | AMD EPYC 7003 Processors | 1 | SMM處理程序中的輸入驗證不當可能允許特權攻擊者覆蓋SMRAM,可能導致任意程式碼執行。 | CVE-2023-31342
|
| AMD | AMD EPYC 7003 Processors | 1 | SMM處理程序中的輸入驗證不當可能允許特權攻擊者覆蓋SMRAM,可能導致任意程式碼執行。 | CVE-2023-31343
|
| AMD | AMD EPYC 7003 Processors | 1 | SMM處理程序中的輸入驗證不當可能允許特權攻擊者覆蓋SMRAM,可能導致任意程式碼執行。 | CVE-2023-31345
|
| AMD | AMD Ryzen 3000 Series Desktop Processors | 1 | AMDCPMDISPLAYFEATURESMM驅動程序中的SMM呼叫弱點可以允許本地身份驗證的攻擊者覆蓋SMRAM,從而可能導致任意程式碼執行。 | CVE-2024-0179
|
| AMD | AMD Ryzen Master Utility | 1 | AMD Ryzen?¢Master Utility的DLL劫持弱點可以使攻擊者達到特權升級,可能導致任意程式碼執行。 | CVE-2024-21966
|
| Apache Software Foundation | Apache Atlas | 1 | 身份驗證的用戶可以執行XSS並可能模仿另一個用戶。此問題影響Apache Atlas版本2.3.0及更早。建議用戶升級到第2.4.0版,該版本可以解決該問題。 | CVE-2024-46910
|
| Apple | watchOS | 1 | 通過改進的記憶體處理解決了問題。此問題固定在iOS 17.4和iPados 17.4,TVOS 17.4,WatchOS 10.4,Visionos 1.1,Macos Sonoma 14.4中。處理Web內容可能會導致任意程式碼執行。 | CVE-2024-27859
|
| Cacti | Cacti | 1 | 仙人掌到1.2.29允許通過graph_template參數在host_templates.php中的模板函數中進行SQL注入。注意:由於CVE-2024-54146的修復程序不完整,因此存在此問題。 | CVE-2025-26520
|
| Dell | Dell SupportAssist OS Recovery | 1 | Dell SupportAssist OS恢復版本在5.5.13.1之前包含符號鏈接攻擊弱點。具有本地存取權限的低調攻擊者可能會利用此弱點,從而導致任意文件刪除和特權提升。 | CVE-2025-22480
|
| Dell | UCC Edge | 1 | Dell UCC Edge,版本2.3.0,在添加客戶SFTP服務器弱點上包含一個盲目的SSRF。具有本地存取的未經驗證的攻擊者可能會利用此弱點,導致服務器端請求偽造 | CVE-2025-22399
|
| Fortinet | FortiAnalyzer | 1 | 在Fortinet Fortianalyzer版本7.4.0至7.4.3、7.2.0至7.2.5、7.2.5、7.0.0.0至7.0中,在OS命令(“ OS命令注入”)弱點中使用的特殊元素的不當中和。 13,6.4.0至6.4.15和6.2.2至6.2.13,Fortinet Fortimanager版本7.4.0至7.4.3,7.2.0至7.2.5,7.2.5,7.0.0至7.0.0.0 .0.0.13,6.4.0至6.4 .15和6.2.2至6.2.13,Fortinet Fortianalyzer Bigdata版本7.4.0,7.2.0至7.2.7,7.0.1至7.0.6,6.4.5至6.4 .5至6.4.7和6.4.7和6.2.5版本7.4.1至7.4.3、7.2.1至7.2.5、7.0.1至7.0.13和6.4.1至6.4.7和Fortinet Fortimanager雲版本7.4.1至7.4.3、7.2.1至7.2 .5,7.0.1至7.0.13和6.4.1至6.4.7 GUI允許身份驗證的特權攻擊者通過精心設計的HTTPS或HTTP請求執行未經授權的程式碼或命令。 | CVE-2024-40584
|
| Fortinet | FortiOS | 1 | Fortinet Fortios版本7.2.4至7.2.8和版本7.4.0至7.4.4中的基於堆棧的緩衝區溢出[CWE-121]弱點,允許遠端未經身份驗證的攻擊者通過CAPWAP通過工藝的UDP數據包執行任意程式碼或命令控制者攻擊者能夠逃避fortios堆棧保護,並且只要面料服務在裸露的界面上運行即可。 | CVE-2024-35279
|
| Fortinet | FortiOS | 1 | Fortinet Fortios版本7.6.0,7.4.0至7.4.4,7.4.4,7.2.0至7.2.9和7.0.15之前的Fortinet Fortios版本中的不正確特權分配弱點[CWE-266]通過將目標的Fortigate與他們控制的惡意上游的Fortigate連接起來,將他們的特權升級為超級狂歡。 | CVE-2024-40591
|
| Fortinet | FortiOS | 1 | 使用替代路徑或通道弱點[CWE-288]的身份驗證旁路影響Fortios 7.0.0至7.0.16和Fortiproxy 7.2.0至7.2.12,7.2.12,7.0.0至7.0.19通過精心設計的CSF代理請求,管理員特權。 | CVE-2025-24472
|
| Fortinet | FortiPortal | 1 | Fortiportal 7.4.0至7.4.2,7.2.0至7.2.0至7.2.6,7.2.6,7.0.0至7.0.11中路徑等效脆弱性[CWE-41]的不當分辨率可能允許遠端的未身分攻擊者通過工藝的HTTP來檢索源程式碼請求。 | CVE-2025-24470
|
| Fortinet | FortiSandbox | 1 | Fortinet Fortisandbox中的網頁生成期間的輸入中和輸入不當,至少版本4.4.0至4.4.4和4.4.4和4.2.0至4.2.6和4.2.6和4.0.0至4.0.0至4.0. 4和3.2.0通過3.2.4和3.1.0至3.1.5和3.0.0至3.0.7允許身份驗證的攻擊者通過精心設計的HTTP請求執行未經授權的程式碼或命令。 | CVE-2024-27781
|
| Fortinet | FortiWeb | 1 | Fortinet Fortiweb 7.4.0至7.6.0中使用的特殊元素的中和不當中和,允許攻擊者通過精心設計的輸入執行未經授權的程式碼或命令。 | CVE-2024-50567
|
| IBM | UrbanCode Deploy | 1 | IBM DevOps Deploy 8.0 至 8.0.1.4、8.1 至 8.1.0.0,以及 IBM UrbanCode Deploy 7.0 至 7.0.5.25、7.1 至 7.1.2.21、7.2 至 7.2.3.14、7.3 至 7.3.2.9 存在安全弱點,允許具有特權的遠端已驗證攻擊者透過發送包含特殊元素的特製輸入,在系統上執行任意命令。 | CVE-2024-55904
|
| Lenovo | Vantage | 1 | Lenovo Vantage SMB 筆記型電腦上的 BIOS 自訂功能存在權限管理不當的弱點,可能允許本地攻擊者在系統上提升權限。 | CVE-2024-12673
|
| Linux | Linux | 1 | 在 zswap_compress() 和 zswap_decompress() 中,操作開始時會獲取當前 CPU 的 acomp_ctx,並在整個操作過程中使用。然而,由於未禁用搶佔(preemption)或遷移(migration),操作可能會在不同的 CPU 上繼續執行。如果原始 CPU 在 acomp_ctx 仍在使用時被熱拔插(hot-unplugged),則可能會發生 UAF(Use After Free)弱點,因為 zswap_cpu_comp_dead() 會釋放 acomp_ctx 附加的一些資源(如 acomp_ctx.buffer、acomp_ctx.req 或 acomp_ctx.acomp)。 | CVE-2025-21693
|
| Linux | Linux | 1 | tc qdisc replace 命令允許將 Qdisc 子類從一個父類移動到另一個父類,可能導致 UAF(Use After Free)弱點,進而可被攻擊者用於權限提升。 | CVE-2025-21700
|
| microsoft | 365_apps | 1 | Microsoft Office 遠端程式碼執行弱點。 | CVE-2025-21397
|
| microsoft | autoupdate | 1 | Microsoft AutoUpdate (MAU) 權限提升弱點。 | CVE-2025-24036
|
| microsoft | sharepoint_server | 1 | Microsoft SharePoint Server 遠端程式碼執行弱點。 | CVE-2025-21400
|
| microsoft | windows_10_1507 | 1 | Windows 電話服務遠端程式碼執行弱點。 | CVE-2025-21406
|
| microsoft | windows_10_1507 | 1 | Windows 電話服務遠端程式碼執行弱點。 | CVE-2025-21407
|
| microsoft | windows_10_1507 | 1 | Windows 儲存系統權限提升弱點。 | CVE-2025-21391
|
| microsoft | windows_10_1507 | 1 | Microsoft Windows 10 1507 的 Windows 核心資訊傳遞存在特權提升弱點。 | CVE-2025-21414
|
| microsoft | windows_10_1507 | 1 | Microsoft Windows 10 1507 的 Windows 設置文件清理存在特權提升弱點。 | CVE-2025-21419
|
| microsoft | windows_10_1507 | 1 | Microsoft Windows 10 1507 的 Windows 磁盤清理工具存在特權提升弱點。 | CVE-2025-21420
|
| microsoft | windows_10_1607 | 1 | Microsoft Windows 10 1607 的 Windows Ancillary 功能驅動器存在特權提升弱點。 | CVE-2025-21418
|
| microsoft | windows_11_24h2 | 1 | Microsoft Windows 11 24h2 的 DHCP 客戶端服務存在遠端程式碼執行弱點。 | CVE-2025-21379
|
| microsoft | windows_server_2008 | 1 | Microsoft Windows 路由和遠端存取服務 (RRAS) 存在遠端程式碼執行弱點。 | CVE-2025-21410
|
| microsoft | go-crypto-winnative | 1 | Microsoft Go-Crypto winnative 存在驗證弱點。該弱點為使用加密API,適用於 Windows 的 Go-Crypto 後端,每次都會產生一個小的記憶體洩露情況。該弱點已包含在 Microsoft Go構建的版本 1.23.6-2 和 1.22.12-2 程序中修復。 | CVE-2025-25199
|
| Microsoft | Microsoft HPC Pack 2019 | 1 | Microsoft 高性能計算 (HPC) 叢集存在遠端程式碼執行弱點。 | CVE-2025-21198
|
| Microsoft | Microsoft Office 2019 | 1 | Microsoft Excel 存在資訊洩露弱點。 | CVE-2025-21383
|
| Microsoft | Microsoft Office 2019 | 1 | Microsoft Office 存在遠端程式碼執行弱點。 | CVE-2025-21392
|
| Microsoft | Microsoft PC Manager | 1 | Microsoft PC Manager 存在提升權限弱點 | CVE-2025-21322
|
| Microsoft | Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8) | 1 | Visual Studio 存在安裝程式提升權限弱點 | CVE-2025-21206
|
| Microsoft | Office Online Server | 1 | Microsoft Excel 存在遠端程式碼執行弱點 | CVE-2025-21381
|
| Microsoft | Office Online Server | 1 | Microsoft Excel 存在遠端程式碼執行弱點 | CVE-2025-21386
|
| Microsoft | Office Online Server | 1 | Microsoft Excel 存在遠端程式碼執行弱點 | CVE-2025-21387
|
| Microsoft | Office Online Server | 1 | Microsoft Excel 存在遠端程式碼執行弱點 | CVE-2025-21390
|
| Microsoft | Office Online Server | 1 | Microsoft Excel 存在遠端程式碼執行弱點 | CVE-2025-21394
|
| Microsoft | Surface Laptop 4 with Intel Processor | 1 | Microsoft Surface 存在安全性功能繞過弱點 | CVE-2025-21194
|
| Microsoft | Visual Studio Code - JS Debug Extension | 1 | Visual Studio Code JS 調試擴充功能存在提升權限弱點 | CVE-2025-24042
|
| Microsoft | Visual Studio Code | 1 | Visual Studio Code 存在提升權限弱點 | CVE-2025-24039
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows 電話服務(Telephony Service)存在遠端程式碼執行(RCE)漏洞,攻擊者可利用此漏洞在受影響的系統上執行任意程式碼,可能導致未經授權的存取或系統控制權限提升。 | CVE-2025-21190
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows 電話服務(Telephony Service)存在遠端程式碼執行(RCE)漏洞,攻擊者可利用此漏洞在受影響的系統上執行任意程式碼,可能導致未經授權的存取或系統控制權限提升。 | CVE-2025-21200
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows 電話伺服器(Telephony Server)存在遠端程式碼執行(RCE)漏洞,攻擊者可透過特製請求在受影響的系統上執行任意程式碼,可能導致未經授權的存取或提升系統權限。 | CVE-2025-21201
|
| Microsoft | Windows 10 Version 1809 | 1 | Microsoft Digest Authentication 存在遠端程式碼執行(RCE)漏洞,攻擊者可透過特製的身份驗證請求,在受影響的系統上執行任意程式碼,可能導致未經授權的存取或提升權限。 | CVE-2025-21368
|
| Microsoft | Windows 10 Version 1809 | 1 | Microsoft Digest Authentication 存在遠端程式碼執行(RCE)漏洞,攻擊者可透過特製的身份驗證請求,在受影響的系統上執行任意程式碼,可能導致未經授權的存取或提升權限。 | CVE-2025-21369
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows 電話服務(Telephony Service)存在遠端程式碼執行(RCE)漏洞,攻擊者可利用特製請求在受影響的系統上執行任意程式碼,可能導致未經授權的存取或系統權限提升。 | CVE-2025-21371
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows 輕量型目錄存取協定(LDAP)存在遠端程式碼執行(RCE)漏洞,攻擊者可透過特製的 LDAP 請求在受影響的系統上執行任意程式碼,可能導致未經授權的存取或提升系統權限。 | CVE-2025-21376
|
| Microsoft | Windows 10 Version 1809 | 1 | Microsoft Message Queuing(MSMQ)存在拒絕服務(DoS)漏洞,攻擊者可透過特製的網路封包使受影響的系統崩潰或無法回應,影響系統可用性。 | CVE-2025-21181
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Core Messaging 存在權限提升(EoP)漏洞,攻擊者可利用此漏洞在受影響的系統上獲取更高的權限,可能導致未經授權的系統控制或資料存取。 | CVE-2025-21184
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Active Directory 網域服務(AD DS)API 存在拒絕服務(DoS)漏洞,攻擊者可透過特製的 API 請求使受影響的服務崩潰或無法回應,影響系統可用性。 | CVE-2025-21351
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Core Messaging Elevation of Privileges Vulnerability | CVE-2025-21358
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Kernel Security Feature Bypass Vulnerability | CVE-2025-21359
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | CVE-2025-21367
|
| Microsoft | Windows 10 Version 1809 | 1 | Windows Installer Elevation of Privilege Vulnerability | CVE-2025-21373
|
| Microsoft | Windows 10 Version 1809 | 1 | Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability | CVE-2025-21375
|
| Microsoft | Windows Server 2019 | 1 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | CVE-2025-21208
|
| Microsoft | Windows Server 2025 (Server Core installation) | 1 | Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability | CVE-2025-21182
|
| Microsoft | Windows Server 2025 (Server Core installation) | 1 | Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability | CVE-2025-21183
|
| OpenSSL | OpenSSL | 1 | Issue summary: Clients using RFC7250 Raw Public Keys (RPKs) to authenticate a server may fail to notice that the server was not authenticated, because handshakes don't abort as expected when the SSL_VERIFY_PEER verification mode is set. Impact summary: TLS and DTLS connections using raw public keys may be vulnerable to man-in-middle attacks when server authentication failure is not detected by clients. RPKs are disabled by default in both TLS clients and TLS servers. The issue only arises when TLS clients explicitly enable RPK use by the server, and the server, likewise, enables sending of an RPK instead of an X.509 certificate chain. The affected clients are those that then rely on the handshake to fail when the server's RPK fails to match one of the expected public keys, by setting the verification mode to SSL_VERIFY_PEER. Clients that enable server-side raw public keys can still find out that raw public key verification failed by calling SSL_get_verify_result(), and those that do, and take appropriate action, are not affected. This issue was introduced in the initial implementation of RPK support in OpenSSL 3.2. The FIPS modules in 3.4, 3.3, 3.2, 3.1 and 3.0 are not affected by this issue. | CVE-2024-12797
|
| TOTOLINK | X18 | 1 | A vulnerability classified as critical has been found in TOTOLINK X18 9.1.0cu.2024_B20220329. Affected is the function setPasswordCfg of the file /cgi-bin/cstecgi.cgi. The manipulation as part of String leads to stack-based buffer overflow. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. | CVE-2025-1340
|
