(20250331-20250406)

一、境外廠商產(chǎn)品漏洞

1、IBM Security Verify Access信息泄露漏洞（CNVD-2025-06210）

IBM Security Verify Access（ISAM）是美國國際商業(yè)機(jī)器（IBM）公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險(xiǎn)的訪問、單點(diǎn)登錄、集成訪問管理控制、身份聯(lián)合以及移動(dòng)多因子認(rèn)證實(shí)現(xiàn)對(duì)Web、移動(dòng)、IoT和云技術(shù)等平臺(tái)安全簡(jiǎn)單的訪問。IBM Security Verify Access存在信息泄露漏洞，該漏洞源于在通信通道中以明文形式傳輸敏感或安全關(guān)鍵數(shù)據(jù)，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06210

2、Adobe Acrobat Reader資源管理錯(cuò)誤漏洞（CNVD-2025-06310）

Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Acrobat Reader存在安全漏洞，攻擊者可利用該漏洞導(dǎo)致在當(dāng)前用戶的環(huán)境中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06310

3、IBM ApplinX跨站請(qǐng)求偽造漏洞

IBM ApplinX是美國國際商業(yè)機(jī)器（IBM）公司的一個(gè)專注于將綠屏界面轉(zhuǎn)換為基于Web的現(xiàn)代應(yīng)用程序。IBM ApplinX存在跨站請(qǐng)求偽造漏洞，攻擊者可利用該漏洞構(gòu)建惡意URI，誘使請(qǐng)求，可以目標(biāo)用戶上下文執(zhí)行惡意操作。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06205

4、NVIDIA Riva riva_quickstart訪問控制錯(cuò)誤漏洞

NVIDIA Riva是NVIDIA發(fā)布的一個(gè)完全加速的對(duì)話式AI應(yīng)用框架，用于構(gòu)建使用端到端的多模態(tài)對(duì)話式AI服務(wù)。NVIDIA Riva riva_quickstart存在訪問控制錯(cuò)誤漏洞，攻擊者可利用該漏洞提交特殊的請(qǐng)求，導(dǎo)致數(shù)據(jù)篡改或拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06283

5、Adobe Illustrators棧緩沖區(qū)溢出漏洞（CNVD-2025-06309）

Adobe Illustrator是一款由Adobe公司開發(fā)的專業(yè)矢量圖形設(shè)計(jì)軟件，廣泛應(yīng)用于平面設(shè)計(jì)、插畫創(chuàng)作、網(wǎng)頁設(shè)計(jì)等領(lǐng)域。Adobe Illustrators在29.1、28.7.3及之前版本中存在棧緩沖區(qū)溢出漏洞。該漏洞是由于受影響版本在處理文件時(shí)，未能正確驗(yàn)證輸入數(shù)據(jù)的邊界導(dǎo)致棧緩沖區(qū)溢出。攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06309

二、境內(nèi)廠商產(chǎn)品漏洞

1、Xiaomi router命令注入漏洞（CNVD-2025-06298）

?Xiaomi router是中國小米（Xiaomi）公司的一系列無線路由器。Xiaomi routers存在命令注入漏洞，該漏洞源于對(duì)外接口返回的響應(yīng)過濾不足，攻擊者可以利用該漏洞通過劫持ISP或上層路由器來獲取權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06298

2、Huawei HarmonyOS media library模塊權(quán)限校驗(yàn)漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS media library模塊存在權(quán)限校驗(yàn)漏洞，攻擊者可利用該漏洞導(dǎo)致機(jī)密性受影響。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06202

3、Xiaomi cloud service Application跨站腳本漏洞

Xiaomi cloud service Application是中國小米（Xiaomi）公司的一款云服務(wù)APP。Xiaomi cloud service Application存在跨站腳本漏洞，該漏洞源于白名單檢查功能允許加載javascript協(xié)議，攻擊者可以利用該漏洞竊取帳戶的cookie。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06297

4、佳能Canon vb-c60攝像頭存在遠(yuǎn)程控制后門漏洞

日本佳能是一家致力于圖像、光學(xué)和辦公自動(dòng)化產(chǎn)品的日本公司，產(chǎn)品包括照相機(jī)、攝像機(jī)、復(fù)印機(jī)、傳真機(jī)、影像掃描器和打印機(jī)等。佳能（canon）vb-c60攝像頭存在遠(yuǎn)程控制后門漏洞，允許攻擊者在無需身份認(rèn)證的情況，向image.cgi發(fā)送帶有特定參數(shù)的get請(qǐng)求，進(jìn)而可控制攝像頭上下，左右轉(zhuǎn)動(dòng)，調(diào)整焦距。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2015-02691

5、Xiaomi GetApps代碼執(zhí)行漏洞

Xiaomi GetApps是中國小米（Xiaomi）公司的一個(gè)全球應(yīng)用商店。Xiaomi GetApps存在代碼執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06293

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

文章來源：CNVD漏洞平臺(tái)