文章总结： CNVD发布了上周高关注度产品安全漏洞摘要，涵盖WordPress插件、网络设备及华为鸿蒙系统等多个领域。关键漏洞包括信息泄露、SQL注入和缓冲区溢出，可导致数据窃取、任意代码执行或拒绝服务。建议相关用户及时关注官方通报并采取修补措施以降低风险。 综合评分： 76 文章分类： 漏洞分析,漏洞预警,WEB安全,IoT安全,应用安全

上周关注度较高的产品安全漏洞(20251208-20251214)

原创

CNVD

CNVD漏洞平台

2025年12月15日 17:34 北京

一、境外厂商产品漏洞

1、CanalDenuncia App信息泄露漏洞（CNVD-2025-30334）

CanalDenuncia App是西班牙CanalDenuncia公司的一个举报通道应用软件。CanalDenuncia App存在信息泄露漏洞，该漏洞是由于/api/buscarEmpresaById.php中的参数id和id_sociedad的授权验证不正确造成的。攻击者可利用该漏洞获取其他用户的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30334

2、WordPress插件smart SEO SQL注入漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件smart SEO存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30332

3、Socomec DIRIS Digiware M-70缓冲区溢出漏洞

Socomec DIRIS Digiware M-70是一款通讯网关设备，作为DIRIS Digiware系统的接入点，它将24VDC电源和通讯功能集中在一个单元中。Socomec DIRIS Digiware M-70存在缓冲区溢出漏洞，该漏洞源于Modbus TCP功能未能正确验证输入数据的长度大小，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30460

4、Apache CloudStack访问控制错误漏洞（CNVD-2025-30565）

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CloudStack存在访问控制错误漏洞，该漏洞源于访问控制检查不足，攻击者可利用该漏洞导致用户访问超出预期范围的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30565

5、WordPress插件Portfolio and Projects信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Portfolio and Projects存在信息泄露漏洞，该漏洞源于应用对于敏感信息保护不足，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30586

二、境内厂商产品漏洞

1、Huawei HarmonyOS video-related system service模块拒绝服务漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS video-related system service模块存在拒绝服务漏洞，攻击者可利用该漏洞影响可用性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30252

2、TOTOLINK LR1200GB UploadCustomModule函数堆栈缓冲区溢出漏洞

TOTOLINK LR1200GB是一款由中国吉翁电子（TOTOLINK）公司推出的无线双频4GLTE路由器，支持2.4GHz和5GHz双频段网络，主要用于提供移动宽带连接和Wi-Fi覆盖。TOTOLINK LR1200GB存在堆栈缓冲区溢出漏洞，该漏洞源于/cgi-bin/cstecgi.cgi文件的UploadCustomModule函数的File参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30272

3、Huawei HarmonyOS file management模块权限控制漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS file management模块存在权限控制漏洞，攻击者可利用该漏洞影响服务机密性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30256

4、TOTOLINK LR1200GB setSmsCfg函数堆栈缓冲区溢出漏洞

TOTOLINK LR1200GB是一款由中国吉翁电子（TOTOLINK）公司推出的无线双频4GLTE路由器，支持2.4GHz和5GHz双频段网络，主要用于提供移动宽带连接和Wi-Fi覆盖。TOTOLINK LR1200GB存在堆栈缓冲区溢出漏洞，该漏洞源于/cgi-bin/cstecgi.cgi文件的setSmsCfg函数的text参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30278

5、Tenda CH22缓冲区溢出漏洞

Tenda CH22是中国腾达（Tenda）公司的一款网络设备。Tenda CH22 1.0.0.1版本存在缓冲区溢出漏洞，该漏洞源于文件/goform/WrlExtraGet中参数chkHz未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-30571

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

查看原文：《上周关注度较高的产品安全漏洞(20251208-20251214)》