|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| Adobe | Adobe Experience Manager | 1 | Adobe Experience Manager 6.5.23 及更早版本受到配置錯誤漏洞的影響,該漏洞可能導致任意程式碼執行。攻擊者可以利用此漏洞繞過安全機制並執行程式碼。利用此漏洞無需用戶交互,且影響範圍已發生變化。 | CVE-2025-54253
|
| Adobe | Adobe Experience Manager | 1 | Adobe Experience Manager 6.5.23 及更早版本受到 XML 外部實體參考 (XXE) 限制不當漏洞的影響,該漏洞可能導致任意檔案系統讀取。攻擊者可利用此漏洞存取本機檔案系統上的敏感檔案。此漏洞的利用無需用戶互動。 | CVE-2025-54254
|
| Autodesk | 3ds Max | 1 | 惡意製作的 RBG 檔案透過 Autodesk 3ds Max 解析時,可能會觸發越界寫入漏洞。惡意攻擊者可能會利用此漏洞導致崩潰、資料損壞或在當前進程上下文中執行任意程式碼。 | CVE-2025-6633
|
| Autodesk | 3ds Max | 1 | 惡意製作的 TGA 檔案在連結或匯入 Autodesk 3ds Max 時,可能會引發記憶體損壞漏洞。惡意攻擊者可利用此漏洞在目前進程上下文中執行任意程式碼。 | CVE-2025-6634
|
| Dell | Avamar Data Store Gen4T | 1 | Dell Avamar 19.12 之前(含修補程式 338905)版本(不含含修補程式 338904 的 19.10SP1 版本)存在「伺服器端信任 HTTP 權限方法」安全漏洞。具有遠端存取權限的低權限攻擊者可能會利用此漏洞,導致資訊外洩。 | CVE-2025-21120
|
| Dell | Dell Digital Delivery | 1 | Dell Digital Delivery 5.6.1.0 之前的版本存在「憑證保護不足」漏洞。未經身份驗證的遠端攻擊者可能會利用此漏洞,導致資訊外洩。 | CVE-2025-38739
|
| Dell | ECS | 1 | 3.8.1.5 版/ ObjectScale 4.0.0.0 版之前的 Dell ECS 版本存在使用硬編碼加密金鑰漏洞。未經身份驗證且擁有本地存取權限的攻擊者可能會利用此漏洞,導致未經授權的存取。 | CVE-2025-26476
|
| Dell | Enterprise SONiC OS | 1 | Dell Enterprise SONiC OS 版本 4.5.0 包含 SSH 加密金鑰漏洞。未經身份驗證的遠端攻擊者可能會利用此漏洞,導致未經授權的通訊存取。 | CVE-2025-38741
|
| Dell | PowerProtect Data Domain Feature Release | 1 | Dell PowerProtect Data Domain 搭配 Data Domain 作業系統 (DD OS) 的功能版本 7.7.1.0 至 8.3.0.15、LTS2024 版本 7.13.1.0 至 7.13.1.25 以及 LTS 2023 版本 7.10.1.0 到 7.10.1.0.67.060 存在驗證,繞過身份驗證,繞過身份驗證。未經身份驗證的遠端攻擊者可能會利用此漏洞,導致保護機制繞過。未經身份驗證的遠端使用者可以建立帳戶,從而可能洩露客戶訊息,影響系統完整性和可用性。 | CVE-2025-36594
|
| Dell | PowerProtect Data Domain Feature Release | 1 | Dell PowerProtect Data Domain 搭載 Data Domain 作業系統 (DD OS) 的功能版本 7.7.1.0 至 8.1.0.10、LTS2024 版本 7.13.1.0 至 7.13.1.25 以及 LTS 2023 版本 7.10.1.0 7.10.10.中存在「作業系統指令中使用特殊元素的不當中和」(「作業系統指令注入」)漏洞。具有本機存取權限的低權限攻擊者可能會利用此漏洞以 root 權限執行任意命令。 | CVE-2025-30099
|
| Dell | SupportAssist OS Recovery | 1 | Dell SupportAssist OS Recovery 5.5.14.0 之前的版本有建立暫存檔案且權限不安全的漏洞。本地經過身份驗證的攻擊者可能會利用此漏洞,導致權限提升。 | CVE-2025-38747
|
| Dell | Unity | 1 | Dell Unity 5.5 及更早版本存在作業系統指令中特殊元素無效化(「作業系統指令注入」)漏洞。未經身份驗證的遠端攻擊者可能會利用此漏洞,導致任意命令執行。 | CVE-2025-36604
|
| Dell | Unity | 1 | Dell Unity 5.5 及更早版本在其 svc_nfssupport 公用程式中存在作業系統指令注入漏洞。經過驗證的攻擊者可能會利用此漏洞,逃離受限 Shell,並以 root 權限執行任意作業系統命令。 | CVE-2025-36606
|
| Dell | Unity | 1 | Dell Unity(版本 5.5 及以前)在其 svc_nas 工具中存在作業系統命令注入弱點。經過身份驗證的攻擊者可能會利用此弱點,逃離受限的 shell,並以 root 權限執行任意作業系統命令。 | CVE-2025-36607
|
| IBM | i | 1 | IBM i 7.3、7.4、7.5 和 7.6 受到 IBM Digital Certificate Manager for i(DCM)網頁會話劫持弱點的影響。未具管理員權限的經過身份驗證的使用者可能會利用此弱點,以管理員身份在 DCM 中執行操作。 | CVE-2025-36119
|
| IBM | Tivoli Monitoring | 1 | IBM Tivoli Monitoring 6.3.0.7 至 6.3.0.7 Service Pack 20 存在堆積式緩衝區溢位弱點,原因是邊界檢查不當。遠端攻擊者可能會溢出緩衝區並在系統上執行任意程式碼,或導致伺服器崩潰。 | CVE-2025-3320
|
| IBM | Tivoli Monitoring | 1 | IBM Tivoli Monitoring 6.3.0.7 至 6.3.0.7 Service Pack 20 存在堆積式緩衝區溢位弱點,原因是邊界檢查不當。遠端攻擊者可能會溢出緩衝區並在系統上執行任意程式碼,或導致伺服器崩潰。 | CVE-2025-3354
|
| Microsoft | Azure Open AI | 1 | Azure OpenAI 權限提升弱點 | CVE-2025-53767
|
| Microsoft | Azure Portal | 1 | Azure Portal 權限提升弱點 | CVE-2025-53792
|
| Microsoft | Microsoft 365 Copilot's Business Chat | 1 | Microsoft 365 Copilot BizChat 資訊洩漏弱點 | CVE-2025-53787
|
| Microsoft | Microsoft Exchange Server Subscription Edition RTM | 1 | 2025 年 4 月 18 日,Microsoft 宣布針對 Exchange Server 混合部署的安全性變更,並提供了非安全性修補程式。這些變更旨在提升混合 Exchange 部署的整體安全性。經進一步調查後,Microsoft 發現與該公告中的指導與設定步驟相關的特定安全性影響,並發佈 CVE-2025-53786 以記錄此弱點。Microsoft 強烈建議閱讀相關資訊,安裝 2025 年 4 月(或之後)的修補程式,並在 Exchange Server 與混合環境中實施相關變更。 | CVE-2025-53786
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,攻擊者可透過特製輸入造成堆疊緩衝區溢位。成功利用此弱點可能導致遠端程式碼執行、阻斷服務、資訊洩漏及資料竄改。 | CVE-2025-23310
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server 存在弱點,攻擊者可透過特製 HTTP 請求造成堆疊溢位。成功利用此弱點可能導致遠端程式碼執行、阻斷服務、資訊洩漏或資料竄改。 | CVE-2025-23311
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server 的 HTTP 伺服器存在弱點,攻擊者可透過特製 HTTP 請求啟動反向 shell。成功利用此弱點可能導致遠端程式碼執行、阻斷服務、資料竄改或資訊洩漏。 | CVE-2025-23317
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)在其 Python 後端存在弱點,攻擊者可能透過特製輸入造成越界寫入。成功利用此弱點可能導致程式碼執行、阻斷服務、資料竄改及資訊洩漏。 | CVE-2025-23318
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)在其 Python 後端存在弱點,攻擊者可能透過發送請求造成越界寫入。成功利用此弱點可能導致遠端程式碼執行、阻斷服務、資料竄改或資訊洩漏。 | CVE-2025-23319
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)在其 Python 後端存在弱點,攻擊者可能透過發送超大請求使共享記憶體限制被超過。成功利用此弱點可能導致資訊洩漏。 | CVE-2025-23320
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,使用者可能透過發送無效請求造成除以零錯誤。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23321
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,當串流在尚未處理前被取消時,多個請求可能導致 double free。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23322
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,使用者可能透過提供無效請求造成整數溢位或回繞,導致 segmentation fault。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23323
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,使用者可能透過提供無效請求造成整數溢位或回繞,導致 segmentation fault。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23324
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,攻擊者可能透過特製輸入造成無控制遞迴。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23325
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,攻擊者可能透過特製輸入造成整數溢位。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23326
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,攻擊者可能透過特製輸入造成整數溢位。成功利用此弱點可能導致阻斷服務及資料竄改。 | CVE-2025-23327
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server(適用於 Windows 和 Linux)存在弱點,使用者可能透過提供無效請求造成過度記憶體分配,導致 segmentation fault。成功利用此弱點可能導致阻斷服務。 | CVE-2025-23331
|
| Trend Micro, Inc. | Trend Micro Apex One | 1 | Trend Micro Apex One(本地部署)管理主控台存在弱點,未經身份驗證的遠端攻擊者可能上傳惡意程式碼並在受影響的安裝環境中執行命令。 | CVE-2025-54948
|
