|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| Akamai | Guardicore Platform Agent | 1 | 在 Windows 版本 v49.20.1、v50.15.0、v51.12.0、v52.2.0 之前的 Akamai Guardicore Platform Agent 中執行的 GC-AGENTS-SERVICE 存在本機權限提升漏洞。 該服務會嘗試從一個不存在的位置讀取 OpenSSL 組態檔,而一般 Windows 使用者對該位置擁有預設寫入權限。 未具特權的本機使用者可在該位置建立惡意「openssl.cnf」檔案,並透過在自訂 OpenSSL engine 設定中指定自訂 DLL 的路徑,使 Guardicore Agent 載入並以其權限執行任意指令。 由於 Guardicore Agent 是以 SYSTEM 身份執行,攻擊者可藉此將本機權限完全提升至 SYSTEM 層級。 | CVE-2025-53841
|
| Avast | Antivirus | 1 | 在 MacOS 上,Avast Antivirus 於掃描惡意格式化檔案時可能發生堆積緩衝區溢位(Heap-based Buffer Overflow)與越界讀取(Out-of-bounds Read)漏洞,可能導致本機任意程式碼執行或使防毒引擎程序拒絕服務。 受影響版本:Antivirus 8.3.70.94 至 8.3.70.98 之前版本。 | CVE-2025-8351
|
| Avast | Antivirus | 1 | 在 MacOS 上處理特製的 Mach-O 檔案時,Avast Antivirus 可能遭遇堆積緩衝區溢位與越界寫入(Out-of-bounds Write)漏洞,導致本機任意程式碼執行或使防毒防護中斷。 受影響版本:Antivirus 15.7 至 3.9.2025 之前版本。 | CVE-2025-10101
|
| Avast | Antivirus | 1 | 在 MacOS 與 Linux 上的 Avast Antivirus 中,掃描格式異常的 Windows PE 檔案時可能觸發 NULL 指標解參,造成防毒程序崩潰。 受影響版本:Antivirus 16.0.0;Antivirus 3.0.3。 | CVE-2025-7007
|
| Dell | CloudBoost Virtual Appliance | 1 | Dell CloudBoost Virtual Appliance 19.13.0.0 及更早版本存在「過度身分驗證嘗試限制不當」漏洞。 未經身分驗證、具遠端存取能力的攻擊者可能利用此漏洞取得未授權的系統存取。 | CVE-2025-46603
|
| GitLab | GitLab | 1 | GitLab 已修補一項 GitLab CE/EE 的問題,該問題影響以下版本:18.4 至 18.4.5 之前的版本、18.5 至 18.5.3 之前的版本、18.6 至 18.6.1 之前的版本。此漏洞可能在特定條件下,允許已驗證的使用者取得高權限使用者的憑證,並以其身分執行操作。 | CVE-2024-9183
|
| IBM | Informix Dynamic Server | 1 | IBM Informix Dynamic Server 14.10 存在漏洞,允許本機使用者在無需密碼的情況下,以管理者身分登入 Informix 伺服器。 | CVE-2024-45675
|
| NVIDIA | TAO | 1 | NVIDIA TAO 存在未受控搜尋路徑漏洞,攻擊者可能誘使系統載入攻擊者控制的資源。成功利用此漏洞可能導致權限提升、資料竄改、拒絕服務或資訊洩露。 | CVE-2025-33208
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Inference Server 存在一個弱點,攻擊者可能透過傳送超大負載導致系統在檢查異常或特殊狀況時出現錯誤。成功利用此弱點可能造成服務中斷(DoS)。 | CVE-2025-33201
|
| NVIDIA | Triton Inference Server | 1 | NVIDIA Triton Server for Linux 存在一個弱點,攻擊者可能透過輸入中指定數量驗證不當來觸發問題。成功利用此弱點可能造成服務中斷。 | CVE-2025-33211
|
| Red Hat | Red Hat Enterprise Linux 8 | 1 | WebKitGTK 發現一個缺陷,處理惡意網頁內容時,可能因記憶體處理不當導致程式異常當機。 | CVE-2025-66287
|
| Red Hat | Red Hat Enterprise Linux 8 | 1 | WebKitGTK 發現另一個缺陷,此弱點允許遠端、需使用者協助的資訊外洩,攻擊者可濫用檔案拖曳機制,因 WebKitGTK 未驗證拖曳操作是否來自瀏覽器外部,進而讀取使用者有權存取的任何檔案。 | CVE-2025-13947
|
| Red Hat | Red Hat JBoss Enterprise Application Platform 8 | 1 | Undertow 發現一個缺陷,可能造成遠端拒絕服務攻擊。當伺服器使用 FormEncodedDataDefinition.doParse(StreamSourceChannel) 方法解析大型 application/x-www-form-urlencoded 表單資料時,該方法會導致記憶體不足問題。此缺陷允許未授權使用者發動遠端阻斷服務(DoS)攻擊。 | CVE-2024-3884
|
| Splunk | Splunk Enterprise | 1 | Splunk Enterprise for Windows 在版本低於 10.0.2、9.4.6、9.3.8 和 9.2.10 時,新的安裝或升級至受影響版本可能導致 Splunk Enterprise for Windows 安裝目錄的權限設定錯誤,使非管理員使用者能存取該目錄及其所有內容。 | CVE-2025-20386
|
| Splunk | Splunk Enterprise | 1 | Splunk Universal Forwarder for Windows 在版本低於 10.0.2、9.4.6、9.3.8 和 9.2.10 時,新的安裝或升級至受影響版本可能導致 Universal Forwarder for Windows 安裝目錄的權限設定錯誤,使非管理員使用者能存取該目錄及其所有內容。 | CVE-2025-20387
|
