雷神众测漏洞周报2025.12.15-2025.12.21

admin
admin
admin
0
文章
0
评论
2025-12-23 16:02:09 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本周雷神众测通报了四个高危漏洞。帆软多款产品存在命令注入漏洞可致服务器被控;ApacheHTTPServer存在CSRF漏洞致哈希泄露;DolphinScheduler存在代码执行漏洞;Android系统存在权限提升漏洞。建议受影响用户尽快升级至最新版本以修复安全隐患。 综合评分: 65 文章分类: 漏洞预警,漏洞分析,应用安全

cover_image

雷神众测漏洞周报2025.12.15-2025.12.21

原创

雷神众测

雷神众测

2025年12月22日 16:10 浙江

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.帆软软件有限公司FineReport、FineBI及FineDataLink存在命令注入漏洞

2.Apache HTTP Server跨站请求伪造漏洞

3.Apache DolphinScheduler代码执行漏洞

4.Google Android权限提升漏洞

漏洞详情

1.帆软软件有限公司FineReport、FineBI及FineDataLink存在命令注入漏洞

漏洞介绍:

FineReport是一款领先的企业级Web报表工具。FineBI是新一代自助式BI工具。FineDataLink是一款低代码/高时效的企业级一站式数据集成与治理平台产品‌‌。

漏洞危害:

帆软软件有限公司FineReport、FineBI及FineDataLink存在命令注入漏洞,攻击者可利用漏洞在服务器上执行任意系统命令,获取服务器权限。

影响范围:

帆软软件有限公司 FineReport <11.5.4.1

帆软软件有限公司 FineBI <7.0.5

帆软软件有限公司 FineBI <6.1.8

帆软软件有限公司 FineDataLink <5.0.4.3

帆软软件有限公司 FineDataLink <4.2.11.3

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

2.Apache HTTP Server跨站请求伪造漏洞

漏洞介绍:

Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。

漏洞危害:

Apache HTTP Server存在跨站请求伪造漏洞,攻击者可利用该漏洞导致NTLM哈希泄露。

漏洞编号:

CVE-2025-59775

影响范围:

Apache HTTP Server >=2.4.7,<=2.4.65

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

3.Apache DolphinScheduler代码执行漏洞

漏洞介绍:

Apache DolphinScheduler是美国阿帕奇(Apache)基金会的一个现代数据编排平台。

漏洞危害:

Apache DolphinScheduler 3.2.2之前版本存在代码执行漏洞,该漏洞是由于输入验证不当造成的。攻击者可利用该漏洞在系统上执行任意shell脚本。

漏洞编号:

CVE-2024-43115

影响范围:

Apache DolphinScheduler <3.2.2

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.Google Android权限提升漏洞

漏洞介绍:

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

漏洞危害:

Google Android存在权限提升漏洞,该漏洞是由于avdt_msg.cc的avdt_msg_ind中的类型混淆错误引起的。攻击者可利用该漏洞在系统上获得更高的权限。

漏洞编号:

CVE-2025-22435

影响范围:

Google Android 14.0

Google Android 15.0

Google Android 13.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:雷神众测 雷神众测《雷神众测漏洞周报2025.12.15-2025.12.21》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  2