|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| Autodesk | RealDWG | 1 | 當在某些 Autodesk 應用程式載入檔案時,若存在惡意製作的二進位檔案,可能因使用了不受信任的搜尋路徑,導致在目前程序上下文中執行任意程式碼。 | CVE-2025-5039
|
| Autodesk | Revit | 1 | 當透過 Autodesk Revit 解析惡意製作的 RFA 檔案時,可能會觸發越界讀取(Out-of-Bounds Read)漏洞。攻擊者可以利用此漏洞導致程式崩潰、讀取敏感資料,或在目前程序上下文中執行任意程式碼。 | CVE-2025-5042
|
| AWS | Client VPN | 1 | 在 Windows 裝置上安裝 AWS Client VPN 用戶端的過程中,安裝程序會參考 C:\usr\local\windows-x86_64-openssl-localbuild\ssl 目錄來取得 OpenSSL 設定檔。因此,非管理員使用者可將任意程式碼置入該設定檔中,若有管理員使用者啟動安裝程序,該程式碼即可能以 root 等級權限執行。此問題不影響 Linux 或 Mac 裝置。建議使用者在 Windows 裝置上停止安裝 5.2.2 版之前的 AWS Client VPN。 | CVE-2025-8069
|
| D-Link | DIR-513 | 1 | 在 D-Link DIR-513(20190831 之前版本)中發現一個被歸類為嚴重等級的漏洞。此漏洞影響 /goform/formSetWanDhcpplus 檔案中的 formSetWanDhcpplus 函數,對 curTime 引數的操控會導致緩衝區溢位。此攻擊可由遠端發起。該產品已不再由原廠支援。 | CVE-2025-7945
|
| D-Link | DIR-513 | 1 | 在 D-Link DIR-513 1.0 中發現一個被評為嚴重的漏洞。此漏洞影響 /goform/formLanguageChange 檔案的 formLanguageChange 函數。對 curTime 引數的操控會導致堆疊式緩衝區溢位。此攻擊可由遠端發起,且漏洞已被公開並可能遭利用。該產品已不再由原廠支援。 | CVE-2025-8159
|
| D-Link | DIR-513 | 1 | 在 D-Link DIR-513 1.10 中發現一個嚴重漏洞,影響 /goform/formSetWanPPPoE 檔案的 websAspInit 函數。對 curTime 引數的操控會導致緩衝區溢位。此攻擊可由遠端發起,且漏洞已被公開並可能遭利用。該產品已不再由原廠支援。 | CVE-2025-8168
|
| D-Link | DIR-513 | 1 | 在 D-Link DIR-513 1.10 中發現一個被歸類為嚴重的漏洞。此漏洞影響 /goform/formSetWanPPTPpath 檔案的 formSetWanPPTPcallback 函數,對 curTime 引數的操控會導致緩衝區溢位。此攻擊可由遠端發起,且漏洞已被公開並可能遭利用。該產品已不再由原廠支援。 | CVE-2025-8169
|
| D-Link | DIR-513 | 1 | 在 D-Link DIR-513(最高版本為 1.10)中發現一個被歸類為嚴重的漏洞。此漏洞影響 /goform/formSetWanL2TPtriggers 檔案的 formSetWanL2TPcallback 函數,操控該引數會導致堆疊式緩衝區溢位。此攻擊可由遠端發起,且漏洞已被公開並可能遭利用。該產品已不再由原廠支援。 | CVE-2025-8184
|
| IBM | Engineering Systems Design Rhapsody | 1 | IBM Engineering Systems Design Rhapsody 版本 9.0.2、10.0 和 10.0.1 存在堆疊式緩衝區溢位漏洞,係因邊界檢查不當所致。本機使用者可利用此漏洞溢出緩衝區並在系統上執行任意程式碼。 | CVE-2025-33076
|
| IBM | Engineering Systems Design Rhapsody | 1 | IBM 工程系統設計 Rhapsody IBM 工程系統設計 Rhapsody 9.0.2、10.0 和 10.0.1 版本存在基於堆疊的緩衝區溢位漏洞,該漏洞是由於邊界檢查不當造成的。本機用戶可能溢出緩衝區並在系統上執行任意程式碼。 | CVE-2025-33077
|
| IBM | i | 1 | IBM i IBM i 7.2、7.3、7.4、7.5 和 7.6 版本存在無效的資料庫權限檢查所導致的權限提升漏洞。惡意攻擊者可能在未取得所有必要權限的情況下執行資料庫程序或函數,此外還會導致某些資料庫操作遭到拒絕服務攻擊。 | CVE-2025-33109
|
| Sophos | Sophos Firewall | 1 | Sophos Sophos 防火牆:Sophos 防火牆 21.0 MR2 (21.0.2) 先前版本的安全 PDF 交換 (SPX) 功能中存在任意文件寫入漏洞,如果在高可用性 (HA) 模式下運行的防火牆啟用了 SPX 的特定設定,則該漏洞可能導致預授權執行程式碼。 | CVE-2025-6704
|
| Sophos | Sophos Firewall | 1 | Sophos Sophos 防火牆:Sophos 防火牆 21.0 MR2 (21.0.2) 先前版本的舊式(透明)SMTP 代理程式中存在 SQL 注入漏洞,如果啟用了電子郵件隔離策略,並且 SFOS 是從 21.0 GA 之前的版本升級而來,則該漏洞可能導致遠端執行程式碼。 | CVE-2025-7624
|
| Sophos | Sophos Firewall | 1 | Sophos Sophos 防火牆:Sophos 防火牆 21.0 MR1 (20.0.1) 以上版本的 Up2Date 元件中存在一個邏輯漏洞,可導致攻擊者控制防火牆的 DNS 環境,從而實現遠端程式碼執行。 | CVE-2024-13974
|
| Sophos | Sophos Firewall | 1 | Sophos Sophos 防火牆:Sophos 防火牆 21.0 MR2 (21.0.2) 及以上版本的 WebAdmin 中存在一個命令注入漏洞,如果啟用了管理員使用者的 OTP 驗證,則可能導致相鄰攻擊者在高可用性 (HA) 輔助設備上實現預授權代碼執行。 | CVE-2025-7382
|
| TOTOLINK | A702R | 1 | TOTOLINK A702R:TOTOLINK A702R 4.0.0-B20230721.1521 中發現一個嚴重漏洞。受影響的是元件 HTTP POST 請求處理程序中文件 /boafrm/formFilter 的一個未知函數。對參數 ip6addr 的操縱會導致緩衝區溢位。攻擊者可以遠程發動攻擊。該漏洞已公開披露,可能被利用。 | CVE-2025-8136
|
| TOTOLINK | A702R | 1 | TOTOLINK A702R 在 TOTOLINK A702R 4.0.0-B20230721.1521 中發現一個漏洞,並被列為嚴重漏洞。受此漏洞影響的是元件 HTTP POST 請求處理程序中檔案 /boafrm/formIpQoS 的未知功能。對參數 mac 的操縱會導致緩衝區溢位。攻擊者可以遠程發動攻擊。該漏洞已公開披露,可能被利用。 | CVE-2025-8137
|
| TOTOLINK | A702R | 1 | TOTOLINK A702R 在 TOTOLINK A702R 4.0.0-B20230721.1521 版本中發現一個漏洞,並被列為嚴重漏洞。此漏洞影響了元件 HTTP POST 請求處理程序中檔案 /boafrm/formOneKeyAccessButton 的一些未知功能。對參數 submit-url 的操縱會導致緩衝區溢位。該攻擊可能透過遠端方式發動。該漏洞利用程式碼已公開,可能被利用。 | CVE-2025-8138
|
| TOTOLINK | A702R | 1 | TOTOLINK A702R 4.0.0-B20230721.1521 中發現一個漏洞,該漏洞已被列為嚴重漏洞。此漏洞會影響元件 HTTP POST 請求處理程序中檔案 /boafrm/formPortFw 的未知部分。對參數 service_type 的操作會導致緩衝區溢位。攻擊者可以利用該漏洞遠端發動攻擊。 | CVE-2025-8139
|
| TOTOLINK | A702R | 1 | TOTOLINK A702R 4.0.0-B20230721.1521 版本中發現一個漏洞,該漏洞已被評定為嚴重漏洞。此漏洞會影響元件 HTTP POST 請求處理程序中檔案 /boafrm/formWlanMultipleAP 的未知代碼。對參數 submit-url 的操縱會導致緩衝區溢位。該攻擊可遠端發動。 | CVE-2025-8140
|
| TOTOLINK | N600R | 1 | TOTOLINK N600R 和 X2000R 1.0.0.1 中發現一個被評為嚴重等級的漏洞。此漏洞會影響元件 FTP 服務中 vsftpd.conf 檔案的未知部分。該漏洞會導致低權限越權控制。攻擊者可以利用該漏洞遠端發動攻擊。 | CVE-2025-8181
|
| TOTOLINK | T6 | 1 | TOTOLINK T6 4.1.5cu.748_B20211015 發現一個嚴重漏洞。此漏洞影響 MQTT 封包處理程序元件中檔案 /router/meshSlaveDlfw 的 tcpcheck_net 函數。參數 serverIp 的竄改會導致緩衝區溢位,該攻擊可遠端發動。 | CVE-2025-8170
|
| TOTOLINK | X15 | 1 | TOTOLINK X15 1.0.0-B20230714.1105 發現一個漏洞,並被列為嚴重漏洞。此漏洞會影響元件 HTTP POST 請求處理程序中檔案 /boafrm/formFilter 的未知程式碼。對參數 ip6addr/url/vpnPassword/vpnUser 的操作會導致緩衝區溢位。該攻擊可遠端發動。 | CVE-2025-8242
|
| TOTOLINK | X15 | 1 | TOTOLINK X15 1.0.0-B20230714.1105 發現一個漏洞,並被列為嚴重漏洞。此漏洞會影響元件 HTTP POST 請求處理程序中檔案 /boafrm/formMapDel 的一些未知處理。對參數 devicemac1 的操作會導致緩衝區溢位。攻擊可能由遠端發動。 | CVE-2025-8243
|
| TOTOLINK | X15 | 1 | TOTOLINK X15 1.0.0-B20230714.1105 發現一個漏洞,該漏洞已被列為嚴重漏洞。此漏洞會影響元件 HTTP POST 請求處理程序中檔案 /boafrm/formMapDelDevice 的一個未知函數。對參數 macstr 的操作會導致緩衝區溢位。攻擊者可以利用該漏洞遠端發動攻擊。 | CVE-2025-8244
|
| TOTOLINK | X15 | 1 | TOTOLINK X15 1.0.0-B20230714.1105 版本中發現一個漏洞,該漏洞已被評定為嚴重漏洞。此漏洞影響了元件 HTTP POST 請求處理程序中檔案 /boafrm/formMultiAPVLAN 的未知功能。對參數 submit-url 的操縱會導致緩衝區溢位。該攻擊可遠端發動。 | CVE-2025-8245
|
| TOTOLINK | X15 | 1 | TOTOLINK X15 1.0.0-B20230714.1105 發現一個漏洞,該漏洞已被評定為嚴重程度。此漏洞影響了元件 HTTP POST 請求處理程序中檔案 /boafrm/formRoute 的一些未知功能。對參數 submit-url 的操縱會導致緩衝區溢位。該攻擊可能透過遠端方式發動。 | CVE-2025-8246
|
| VMware | bitnamicharts/appsmith | 1 | 三個 Bitnami Helm 圖表將 Kubernetes Secrets 掛載到位於 Web 伺服器文件根目錄內的路徑 (/opt/bitnami/*/secrets) 下。在受影響的版本中,這可能導致未經身份驗證的 HTTP/S 敏感憑證存取。如果應用程式暴露在外部,遠端攻擊者可以透過存取特定 URL 來查詢這些 Secrets。此問題會影響使用 usePasswordFiles=true 預設值的布署,該值會將 Secrets 掛載至容器檔案系統。 | CVE-2025-41240
|
