国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞355个，其中高危漏洞173个、中危漏洞156个、低危漏洞26个。漏洞平均分值为6.44。本周收录的漏洞中，涉及0day漏洞252个（占71%），其中互联网上出现“FeMiner wms iquel_inout_item.php文件SQL注入漏洞、FeMiner wms id参数SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数5739个，与上周（3270个）环比增加76%。

　　本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件7起，向基础电信企业通报漏洞事件2起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件353起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件37起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件16起。

　　本周，CNVD收录了355个漏洞。WEB应用153个，应用程序88个，网络设备（交换机、路由器等网络端设备）73个，操作系统16个，智能设备（物联网终端设备）13个，数据库7个，安全产品5个。

　　CNVD整理和发布的漏洞涉及Adobe、Cisco、Google等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

　　本周，CNVD收录了31个电信行业漏洞代理服务器在局域网中的ip地址，10个移动互联网行业漏洞，7个工控行业漏洞（如下图所示）。其中，“Google Android shouldSkipForInitialSUW函数授权问题漏洞、mySCADA myPRO操作系统命令注入漏洞（CNVD-2025-03918）”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

　　Cisco Expressway Series是美国思科（Cisco）公司的一款用于防火墙外访问设备的软件。该软件为防火墙外的用户提供了简单。高度安全的访问功能，帮助远程办公人员在他们选择的设备上更有效地工作。Cisco BroadWorks是美国思科（Cisco）公司的一个运营商级统一通信软件平台。用于在任何类型的有线或无线网络架构上部署来自公共网络平台的云呼叫。Cisco Identity Services Engine是美国思科(Cisco)公司的一款环境感知平台。Cisco AsyncOS是美国思科（Cisco）公司的一款应用于思科设备的操作系统。Cisco Application Policy Infrastructure Controller（APIC）是美国思科（Cisco）公司的一款自动化的基础架构部署和治理解决方案。Cisco Nexus Dashboard Fabric Controller是一款云和数据中心网络管理软件控制器，能够简化数据中心网络的运营和管理。Cisco Meeting Management是思科公司用于管理和调度会议的软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的SQL请求，操作数据库，可获取敏感信息，通过发送API请求到特定端点提升至管理员权限，上传特制文件并以root权限执行命令等。

　　Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码等。

　　D-Link DIR-816A2是中国友讯（D-Link）公司的一款路由器。本周，D-Link DIR-816A2被披露存在访问控制错误漏洞，攻击者可利用该漏洞通过特制POST请求设置2.4G和5G无线服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞导致安全功能绕过，执行未授予权限的操作，在当前用户的环境中执行任意代码。此外，Apache、Cisco、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞从Linkis服务器读取任意文件，获取敏感信息，通过发送API请求到特定端点提升至管理员权限，在系统上执行任意代码，导致程序拒绝服务等。另外，D-Link DIR-816A2被披露存在访问控制错误漏洞，攻击者可利用该漏洞通过特制POST请求设置2.4G和5G无线服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　FeMiner wms 1.0版本存在SQL注入漏洞，该漏洞源于date1, date2, id参数缺少对外部输入SQL语句的验证，攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

　　注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。