|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| AMD | AMD Prof | 1 | AMD 產品 uProf 存在規避驗證弱點。該弱點為不正確的回傳值可能允許本地攻擊者繞過 KSLR 組件,進而造成受影響設備的機密性或可用性損失情況。 | CVE-2025-48510
|
| AMD | Xilinx Run Time (XRT) | 1 | AMD 產品 XRT 的 XOCL 驅動程式存在輸入驗證弱點。該弱點為不正確的輸入驗證可能允許本地攻擊者產生整數溢出,進而造成受影響設備的機密性或可用性損失情況。 | CVE-2025-52538
|
| AMD | Xilinx Run Time (XRT) | 1 | AMD 產品 XRT 的 Xilinx Runtime 中鎖頻功能存在 UAF(Use-After-Free) 弱點。該弱點可能驗證不足,進而造成受影響設備的機密性或可用性損失情況。 | CVE-2025-0003
|
| AMD | Xilinx Run Time (XRT) | 1 | AMD 產品 XRT 的 XOCL 驅動程式存在輸入驗證弱點。該弱點為不正確的輸入驗證可能允許本地攻擊者產生整數溢出,進而造成設備意外中止或服務阻斷情況。 | CVE-2025-0005
|
| AMD | Xilinx Run Time (XRT) | 1 | AMD 產品 XRT 存在緩衝區溢位弱點。該弱點可能允許本地攻擊者從高級可擴展介面 (AXI) 讀取或破壞儲存資料,進而造成受影響設備的機密性或可用性損失情況。 | CVE-2025-52539
|
| GitLab | GitLab | 1 | GitLab CE/EE 18.6.1 (含)之前版本存在驗證弱點。該弱點為允許未經身份驗證的使用者,透過發送偽造 JSON 有效負載的請求來造成服務阻斷攻擊情況。 | CVE-2025-12571
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 記憶體管理模組存在權限控制弱點。影響:該弱點可能造成受影響設備的機密性損失情況。 | CVE-2025-64314
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 設定模組存在權限控制弱點。影響:該弱點可能造成受影響設備的機密性損失情況。 | CVE-2025-58302
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 螢幕錄影框架模組存在 UAF 弱點。影響:該弱點可能造成受影響設備的機密性損失情況。 | CVE-2025-58303
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 分散式元件存在權限控制弱點。影響:該弱點可能造成受影響設備的機密性損失情況。 | CVE-2025-58310
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 呼叫模組存在驗證弱點。影響:該弱點可能造成受影響設備發生功能異常情況。 | CVE-2025-58308
|
| Huawei | HarmonyOS | 1 | Huawei 的 HarmonyOS 視訊相關系統服務模組存在 DoS 弱點。影響:該弱點可能造成受影響設備的可用性損失情況。 | CVE-2025-58316
|
| Microsoft | Azure App Gateway | 1 | Application Gateway 中的越界讀取弱點,允許未經授權的攻擊者透過網路提升權限。 | CVE-2025-64656
|
| Microsoft | Azure App Gateway | 1 | Azure Application Gateway 中的基於堆疊的緩衝區溢位弱點,允許未經授權的攻擊者透過網路提升權限。 | CVE-2025-64657
|
| NVIDIA | DGX Spark | 1 | NVIDIA DGX Spark GB10 的 SROOT 存在弱點,攻擊者可利用其具備的高權限存取 SoC 受保護區域。成功利用此弱點可能導致程式碼執行、資訊外洩、資料竄改、阻斷服務或權限提升。 | CVE-2025-33187
|
| NVIDIA | DGX Spark | 1 | NVIDIA DGX Spark GB10 的硬體資源存在弱點,攻擊者可能竄改硬體控制。成功利用此弱點可能導致資訊外洩、資料竄改或阻斷服務。 | CVE-2025-33188
|
| NVIDIA | DGX Spark | 1 | NVIDIA DGX Spark GB10 的 SROOT 韌體存在越界寫入弱點。成功利用此弱點可能導致程式碼執行、資料竄改、阻斷服務、資訊外洩或權限提升。 | CVE-2025-33189
|
| NVIDIA | NeMo Agent ToolKit | 1 | NVIDIA NeMo Agent Toolkit Web UI 的聊天 API 端點存在弱點,攻擊者可能造成伺服器端請求偽造(SSRF)。成功利用此弱點可能導致資訊外洩及阻斷服務。 | CVE-2025-33203
|
| NVIDIA | NeMo Framework | 1 | 全平台的 NVIDIA NeMo Framework 在 NLP 與 LLM 元件中存在弱點,攻擊者可透過惡意製作的資料造成程式碼注入。成功利用此弱點可能導致程式碼執行、權限提升、資訊外洩與資料竄改。 | CVE-2025-33204
|
| NVIDIA | NeMo Framework | 1 | NVIDIA NeMo Framework 中的一個預先定義變數存在弱點,攻擊者可利用該變數引入未受信任來源的功能。成功利用此弱點可能導致程式碼執行。 | CVE-2025-33205
|
| Red Hat | Red Hat Enterprise Linux 10 | 1 | 在 keylime 中發現一項弱點,攻擊者可註冊一個使用不同 TPM 裝置的新 agent,但聲稱使用既有 agent 的 UUID。這將覆寫合法 agent 的身分,使攻擊者能冒充該 agent,並可能繞過安全控制。 | CVE-2025-13609
|
| Red Hat | Red Hat Enterprise Linux 6 | 1 | 在 WebKitGTK 與 WPE WebKit 中發現一項弱點,允許越界讀取與整數下溢。攻擊者可透過特製的 payload 傳送至 GLib 遠端檢查器伺服器,導致 UIProcess 當機(阻斷服務)。 | CVE-2025-13502
|
| Redhat | Redhat | 1 | glib 中發現堆積式緩衝區溢位問題,源於 g_escape_uri_string() 函式錯誤地計算緩衝區大小。若輸入字串包含大量需跳脫的不可接受字元,計算後的轉義字串長度可能溢位,最終導致新配置字串的越界寫入。 | CVE-2025-13601
|
