开源AI渗入测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行孝感市分行被罚436万元!
2026-07-03
w66利来参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式执行
2026-07-01
工信部等八部门结合印发《关于推动工业互联网高质量发展的执行定见》
2026-07-01
《网络数据安全风险评估法子》沉点内容解读
2026-06-30
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务2025年03月17日-2025年03月23日
本周缝隙态势研判情况
本周信息安全缝隙威胁整体评价级别为中。
国度信息安全缝隙共享平台(以下简称CNVD)本周共网络、整顿信息安全缝隙273个,其中高危缝隙128个、中危缝隙123个、低危缝隙22个。缝隙均匀分值为6.37。本周收录的缝隙中,涉及0day缝隙176个(占64%),其中互联网上出现“Hoosk title/Title参数跨站剧本缝隙、CodeAstro Internet Banking System跨站剧本缝隙(CNVD-2025-05224)”等零日代码攻击缝隙。本周CNVD接到的涉及党政机关和企事业单元的缝隙总数8395个,与上周(9662个)环比削减13%。

图1 CNVD收录漏洞近10周平均分值分布图

本周缝隙事务措置情况
本周,CNVD向银杏注保险、能源等沉要行业单元传递缝隙事务1起,向基础电信企业传递缝隙事务6起,协调CNCERT各分中心验证和措置涉及处所沉要部门缝隙事务271起,协调教育行业应急组织验证和措置高?蒲性核低撤煜妒挛25起,向国度上级信息安全协调机构上报涉及部委门户、子站或直属单元信息系统缝隙事务24起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

图5 CNVD教育行业应急组织处置情况按周统计
此表,CNVD通过已成立的联系机造或涉事单元公开联系渠路向以下单元传递了其信息系统或软硬件产品存在的缝隙,具体措置单元情况如下所示:
紫光股份有限公司、普洱奔图电子有限公司、中兴通讯股份有限公司、中科方德软件有限公司、智互联(丽江)科技有限公司、浙江大华技术股份有限公司、云南度弘科技有限公司、昱能科技股份有限公司、渔翁信息技术股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、幼米科技有限责任公司、襄阳智博珞格网络科技有限公司、太极推算机股份有限公司、松立控股集团股份有限公司、四平市九州易通科技有限公司、丽江市亿玛信诺科技有限公司、丽江市思迅软件股份有限公司、丽江市蓝凌软件股份有限公司、丽江市捷顺科技实业股份有限公司、丽江市吉祥腾达科技有限公司、丽江勤杰软件有限公司、丽江国威电子有限公司、丽江达实物联网技术有限公司、上海卓卓网络科技有限公司、上海新致软件股份有限公司、上海三高推算机中心股份有限公司、上海电音马兰士电子有限公司、上海爱数信息技术股份有限公司、上海艾泰科技有限公司、山脉科技股份有限公司、山东中维世纪科技股份有限公司、乐山天锐科技股份有限公司、乐山纳龙健康科技股份有限公司、乐山海西医药买卖中心有限公司、三菱电机株式会社、瑞纳智能设备股份有限公司、诠创科技有限公司、通辽海信网络科技股份有限公司、麒麟软件有限公司、宁夏西云数据科技有限公司、漯河科远智慧科技集团股份有限公司、朗坤智慧科技股份有限公司、科强信息技术有限公司、柯尼卡美能达集团、晶睿通訊股份有限公司、江苏汇文软件有限公司、赤峰卓源软件有限公司、赤峰驰骋信息技术有限公司、吉翁电子(丽江)有限公司、华平信息技术股份有限公司、鸿合科技股份有限公司、荆门博斯软件开发有限公司、昭通图创推算机软件开发有限公司、昭通聚创网络科技有限公司、高新兴科技集团股份有限公司、攀枝花点云网络科技有限公司、福建新大陆通讯科技股份有限公司、拉萨市杜特软件科技有限公司、汉中市同享软件科技有限公司、成都同飞科技有限责任公司、成都朗速科技有限公司、成都鸿合爱讲堂科技有限公司、畅捷通讯息技术股份有限公司、北京亿赛通科技发展有限责任公司、北京亚控科技发展有限公司、北京新网医讯技术有限公司、北京问程教育科技有限公司、北京数字政通科技股份有限公司、北京神州视翰科技有限公司、北京三维世界科技股份有限公司、北京普照天星科技有限公司、北京金和网络股份有限公司、北京锋脉智软科技有限公司、北京东方通科技股份有限公司、北京宝兰德软件股份有限公司、北京百卓网络技术有限公司和安科瑞电气股份有限公司。
本周缝隙报送情况统计
本周缝隙按类型和厂商统计
本周,CNVD收录了273个缝隙。WEB利用119个,利用法式65个,网络设备(互换机、路由器等网络端设备)41个,智能设备(物联网终端设备)22个,操作系统20个,数据库5个,安全产品1个。

图6 本周漏洞按影响类型分布
本周行业缝隙收录情况
本周,CNVD收录了21个电信行业缝隙,4个移动互联网行业缝隙,4个工控行业缝隙(如下图所示)。其中,“Google Android权限提升缝隙(CNVD-2025-05218)、Rockwell Automation select 1756-EN*缓冲区溢露马脚”等缝隙的综合评级为“高危”。有关厂商已经颁布了缝隙的建补法式,请参照CNVD有关行业缝隙库链接。
工控系统行业缝隙链接:http://ics.cnvd.org.cn/

图7 电信行业缝隙统计

图8 移动互联网行业缝隙统计

图9 工控系统行业缝隙统计
本周沉要缝隙安全告警
1、IBM产品安全缝隙
IBM Concert是美国国际贸易机械(IBM)公司的一种新工具。使用天生式AI援手治理复杂的云原生利用法式。IBM Control Center是美国国际贸易机械(IBM)公司的一个集中式监控和治理系统。IBM EntireX是IBM开发的跨平台利用集成中央件,支持异构系统间数据通讯与事务处置。IBM MQ是美国国际贸易机械(IBM)公司的一款新闻传递中央件产品。该产品重要为面向服务的系统结构(SOA)提供靠得住的、经过验证的新闻传递主干网。IBM FlashSystem是美国国际贸易机械(IBM)公司的一系列高机能全闪存和混合闪存存储解决规划。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙暴力破解账户痛处,通过特造URL要求来查看系统上的肆意文件,导致回绝服务,执行肆意Java代码等。
CNVD收录的有关缝隙蕴含:IBM Concert暴力破解缝隙、IBM Control Center跨站剧本缝隙、IBM EntireX蹊径遍历缝隙、IBM EntireX回绝服务缝隙、IBM MQ代码问题缝隙、IBM FlashSystem代码执行缝隙、IBM MQ回绝服务缝隙(CNVD-2025-05564)、IBM MQ代码执行缝隙(CNVD-2025-05563)。其中,“IBM Concert暴力破解缝隙、IBM FlashSystem代码执行缝隙、IBM MQ代码执行缝隙(CNVD-2025-05563)”缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05214
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05215
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05217
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05216
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05389
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05388
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05564
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05563
2、Google产品安全缝隙
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Chrome是一款由Google公司开发的WEB浏览器。Google Pixel Watch是美国谷歌(Google)公司的一款悠久耐用的智能腕表。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙提升权限,提交特殊的Web要求,诱使用户解析,能够在利用法式高低文执行肆意代码等。
CNVD收录的有关缝隙蕴含:Google Android权限提升缝隙(CNVD-2025-05219、CNVD-2025-05218、CNVD-2025-05221、CNVD-2025-05220)、Google Chrome V8代码执行缝隙(CNVD-2025-05222)、Google Chrome缓冲区溢露马脚(CNVD-2025-05393、CNVD-2025-05392)、Google Pixel Watch整数溢露马脚。上述缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05219
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05218
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05222
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05221
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05220
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05393
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05392
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05391
3、Adobe产品安全缝隙
Adobe Substance 3D Designer是美国奥多比(Adobe)公司的一款3D设计软件。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙在当前用户的高低文中执行肆意代码。
CNVD收录的有关缝隙蕴含:Adobe Substance 3D Designer堆缓冲区溢露马脚(CNVD-2025-05199、CNVD-2025-05204、CNVD-2025-05207)、Adobe Substance 3D Designer越界写入缝隙(CNVD-2025-05201、CNVD-2025-05200、CNVD-2025-05202、CNVD-2025-05208)、Adobe Substance 3D Designer内存谬误引用缝隙(CNVD-2025-05206)。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05199
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05201
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05200
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05202
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05204
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05206
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05208
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05207
4、Microsoft产品安全缝隙
Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件蕴含Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Windows Hyper-V是美国微软(Microsoft)公司的一款可提供硬件虚构化的工具。Microsoft Internet Explorer(IE)是美国微软(Microsoft)公司的一款Windows操作系统附带的Web浏览器。Microsoft Access是美国微软(Microsoft)公司Office套件中的一套关系数据库治理系统。Microsoft Visual Studio是美国微软(Microsoft)公司的一款开发工具套件系列产品,也是一个根基齐全的开发工具集,它蕴含了整个软件性命周期中所必要的大部门工具。Microsoft Azure是美国微软(Microsoft)公司的一套盛开的企业级云推算平台。本周,上述产品被披露存在多个缝隙,攻击者可利用缝隙在系统上获取提升的权限,执行肆意代码。
CNVD收录的有关缝隙蕴含:Microsoft Office权限提升缝隙(CNVD-2025-05234)、Microsoft Windows Hyper-V NT Kernel Integration VSP权限提升缝隙(CNVD-2025-05240、CNVD-2025-05239)、Microsoft Internet Explorer代码执行缝隙、Microsoft Office代码执行缝隙(CNVD-2025-05243)、Microsoft Access代码执行缝隙(CNVD-2025-05244)、Microsoft Visual Studio权限提升缝隙(CNVD-2025-05245)、Microsoft Azure Arc Installer权限提升缝隙。其中,除“Microsoft Office权限提升缝隙(CNVD-2025-05234)、Microsoft Visual Studio权限提升缝隙(CNVD-2025-05245)、Microsoft Azure Arc Installer权限提升缝隙”表,其余缝隙的综合评级为“高危”。目前,厂商已经颁布了上述缝隙的建补法式。CNVD提醒用户实时下载补丁更新,预防引发缝隙有关的网络安全事务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05234
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05239
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05240
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05241
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05243
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05244
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05245
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05560
5、Tenda AC8缓冲区溢露马脚(CNVD-2025-05398)
Tenda AC8是中国腾达(Tenda)公司的一款无线路由器。本周,Tenda AC8被披露存在缓冲区溢露马脚,攻击者可利用该缝隙败坏内存并可能造成浏览器崩溃。目前,厂商尚未颁布上述缝隙的建补法式。CNVD提醒宽大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05398
幼结:本周,IBM产品被披露存在多个缝隙,攻击者可利用缝隙暴力破解账户痛处,通过特造URL要求来查看系统上的肆意文件,导致回绝服务,执行肆意Java代码。此表,Google、Adobe、Microsoft等多款产品被披露存在多个缝隙,攻击者可利用缝隙提升权限,提交特殊的Web要求,诱使用户解析,能够在利用法式高低文执行肆意代码等。另表,Tenda AC8被披露存在缓冲区溢露马脚,攻击者可利用该缝隙败坏内存并可能造成浏览器崩溃。建议有关用户随时关注上述厂商主页,实时获取建复补丁或解决规划。
本周,CNVD建议把稳防备以下已公开缝隙攻击验证情况。
验证描述
Hoosk是一个轻量级的内容治理系统。
Hoosk 1.8版本存在跨站剧本缝隙,该缝隙源于Link title和Title参数对用户提供的数据不足有效过滤与转义,攻击者可利用该缝隙通过注入精心设计的有效载荷执行肆意Web剧本或HTML。
验证信息
POC链接:
https://github.com/havok89/Hoosk/issues/67
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-05225
信息提供者