資安通告:06/30~07/06 資安弱點威脅彙整週報
2025-07-11
風險等級: 高度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
CiscoCisco Unified Communications Manager1Cisco Unified CM 及 Unified CM SME 存在預設不可變更的 root 靜態帳號,遠端未驗證攻擊者可利用此帳號登入並以 root 權限執行任意指令。CVE-2025-20309

D-LinkDI-81001D-Link DI-8100 16.07.21 發現嚴重弱點,/pppoe_base.asp 中 mschap_en 參數處理導致緩衝區溢位,可遠端利用,攻擊程式已公開。CVE-2025-6881

D-LinkDIR-5131D-Link DIR-513 1.0 存在嚴重弱點,/goform/formSetWanPPTP 中 curTime 操作造成緩衝區溢位,可遠端攻擊,僅影響已停止支援的產品。CVE-2025-6882

DellOpenManage Network Integration1Dell OpenManage Network Integration 3.8 之前版本於 RADIUS 通訊協定存在身份驗證重放攻擊弱點,攻擊者可偽造驗證通過訊息。CVE-2025-36593

MicrosoftMicrosoft Edge (Chromium-based)1Microsoft Edge(Chromium 版)存在型別混淆弱點,未授權攻擊者可透過網路執行任意程式碼。CVE-2025-49713

MicrosoftMicrosoft Edge (Chromium-based)1Microsoft Edge(Chromium 版)另存在資訊洩漏弱點,攻擊者可透過網路未授權存取敏感資訊。CVE-2025-49741

TendaAC51Tenda AC5 15.03.06.47 在 /goform/openSchedWifi 的 schedStartTime/schedEndTime 參數處理存在堆疊溢位弱點,攻擊可遠端執行,弱點程式已公開。CVE-2025-6886

TendaAC51Tenda AC5 15.03.06.47 在 /goform/SetSysTimeCfg 的 time/timeZone 參數處理存在堆疊溢位弱點,攻擊可遠端執行,弱點程式已公開。CVE-2025-6887

TOTOLINKA3002RU1TOTOLINK A3002RU 3.0.0-B20230809.1615 在 /boafrm/formWlSiteSurvey 的 submit-url 參數處理存在堆疊溢位弱點,可被遠端利用,弱點程式已公開。CVE-2025-6939

TOTOLINKA3002RU1TOTOLINK A3002RU 3.0.0-B20230809.1615 在 /boafrm/formParentControl 的 submit-url 參數處理存在堆疊溢位弱點,可被遠端利用,弱點程式已公開。CVE-2025-6953

TOTOLINKA702R1TOTOLINK A702R 4.0.0-B20230721.1521 在 /boafrm/formParentControl 的 submit-url 參數處理存在堆疊溢位弱點,可被遠端利用,弱點程式已公開。CVE-2025-6940

TOTOLINKT61TOTOLINK T6 4.1.5cu.748_B20211015 在 /formLoginAuth.htm 的 authCode/goURL 參數處理缺乏驗證,攻擊需從區域網路發起,弱點程式已公開。CVE-2025-6916

影響系統:
    受影響廠牌如下:
  • Cisco
  • D-Link
  • Dell
  • Microsoft
  • Tenda
  • TOTOLINK
解決辦法: 詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/news-events/bulletins/sb25-188 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/news-events/bulletins/sb25-188 )