2025年4月漏洞通告
发布时间:2025-05-09
三、 漏洞通告
根据影响范围、危害程度等因素,筛选近期各大漏洞数据库公开披露的风险较大的漏洞,可依据此表进行安全风险识别、风险自查和漏洞修补。汇总列表如下:
| 序号 | 漏洞名称 | 等级 | 公开时间 |
| 3.1 | Apache Parquet远程代码执行漏洞 | 严重 | 2025-04-07 |
| 3.2 | Microsoft LDAP远程代码执行漏洞 | 严重 | 2025-04-09 |
| 3.3 | WinRAR符号链接漏洞 | 高危 | 2025-04-05 |
| 3.4 | WhatsApp Desktop文件执行漏洞 | 高危 | 2025-04-09 |
| 3.5 | 天融信上网行为管理系统命令执行漏洞 | 高危 | 2025-04-22 |
| 3.6 | 用友NC SQL注入漏洞 | 高危 | 2025-04-22 |
| 3.7 | 北京网动统一通信平台SQL注入漏洞 | 高危 | 2025-04-25 |
| 3.8 | Tenda AC10缓冲区溢出漏洞 | 高危 | 2025-04-25 |
| 3.9 | Siemens TeleControl Server SQL注入漏洞 | 高危 | 2025-04-25 |
3.1 Apache Parquet远程代码执行漏洞(CVE-2025-30065)
公开时间:2025-04-07漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:已公开
漏洞概述:
Java版本因Schema解析逻辑缺陷,允许攻击者通过恶意文件远程执行代码。
影响范围:
Apache Parquet 1.15.0及更早版本。
安全建议:
1、升级至官方修复版本;
2、监控Apache服务(如Tomcat)的异常活动。
3.2 Microsoft LDAP远程代码执行漏洞(CVE-2025-26670)
公开时间:2025-04-09漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
Windows LDAP客户端存在释放后使用漏洞,攻击者发送恶意请求可远程执行代码。
影响范围:
所有未安装补丁的Windows LDAP服务。
安全建议:
1、立即安装微软4月补丁;
2、限制LDAP服务的公网暴露。
3.3 WinRAR符号链接漏洞(CVE-2025-31334)
公开时间:2025-04-05漏洞等级:高危
漏洞类型:权限绕过
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者通过构造符号链接绕过Windows安全提示(MotW),在用户不知情时执行任意代码,需管理员权限触发。
影响范围:
所有WinRAR 7.11之前的版本。
安全建议:
1、升级至WinRAR 7.11+;
2、限制用户管理员权限;
3、禁用非必要符号链接功能。
3.4 WhatsApp Desktop文件执行漏洞(CVE-2025-30401)
公开时间:2025-04-09漏洞等级:高危
漏洞类型:文件执行欺骗
漏洞利用细节是否公开:未公开
漏洞概述:
Windows版WhatsApp根据MIME类型显示文件,但系统按扩展名执行文件,导致用户误打开伪装成图片的可执行文件。
影响范围:
WhatsApp Desktop 2.2450.6之前版本。
安全建议:
1、升级至2.2450.6+;
2、禁用自动下载附件功能。
3.5 天融信上网行为管理系统命令执行漏洞(CNVD-2025-06678)
公开时间:2025-04-22漏洞等级:高危
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者可远程发送恶意请求,在目标系统执行任意命令。
影响范围:
天融信相关系统用户。
安全建议:
1、升级至厂商最新版本;
2、关闭非必要远程端口。
3.6 用友NC SQL注入漏洞(CNVD-2025-04985)
公开时间:2025-04-22漏洞等级:高危
漏洞类型:SQL注入
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者通过构造恶意SQL语句窃取数据库敏感信息。
影响范围:
用友NC相关版本用户。
安全建议:
1、部署SQL注入防护规则;
2、升级至安全补丁版本。
3.7 北京网动统一通信平台SQL注入漏洞(CNVD-2025-08026)
公开时间:2025-04-25漏洞等级:高危
漏洞类型:SQL注入
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者可利用漏洞获取数据库敏感信息。
影响范围:
网动统一通信平台V1.0.210125用户。
安全建议:
1、安装厂商修复补丁;
2、加强输入参数验证。
3.8 Tenda AC10缓冲区溢出漏洞(CNVD-2025-08348)
公开时间:2025-04-25漏洞等级:高危
漏洞类型:缓冲区溢出
漏洞利用细节是否公开:未公开
漏洞概述:
AdvSetMacMtuWan功能未校验输入长度,导致远程代码执行。
影响范围:
Tenda AC10 V4.0si_V16.03.10.20用户。
安全建议:
1、禁用路由器远程管理功能;
2、等待厂商补丁。
3.9 Siemens TeleControl Server SQL注入漏洞(CNVD-2025-08356)
公开时间:2025-04-25漏洞等级:高危
漏洞类型:SQL注入
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者可控制工业远程控制器。
影响范围:
Siemens TeleControl Server Basic <3.1.2.2用户。
安全建议:
1、升级至3.1.2.2+;
2、隔离工业控制网络。
上一篇:2025年4月安全月报 下一篇:返回列表
返回列表
