标签 高危漏洞 下的文章

新加坡网络安全局(CSA)已就研华(Advantech)IoT 产品线中一个极具破坏性的漏洞发布高优先级警报。该漏洞编号为 CVE-2025-52694,CVSS 评分高达 10.0(满分),表明其属于需要管理员立即处理的严重威胁

该漏洞为 SQL 注入漏洞。根据安全公告,成功利用后可使 “未授权远程攻击者执行任意 SQL 命令”。

这意味着,如果受影响的服务暴露在互联网上,攻击者无需用户名或密码即可发起攻击。他们只需向数据库发送恶意命令,就可能窃取敏感数据、修改系统配置,甚至完全控制整个相连的 IoT 基础设施。

该漏洞由 HCMUTE 信息安全俱乐部的 Loi Nguyen Thang 先生发现,并与研华及新加坡网络安全局合作进行了协调披露。
漏洞影响研华 IoT 生态系统的多个组件,尤其是较旧版本的管理和边缘软件。受影响的产品包括:
  • IoTSuite SaaSComposer:3.4.15 之前的版本
  • IoTSuite Growth Linux docker:V2.0.2 之前的版本
  • IoTSuite Starter Linux docker:V2.0.2 之前的版本
  • IoT Edge Linux docker:V2.0.2 之前的版本
  • IoT Edge Windows:V2.0.2 之前的版本
官方建议用户和管理员立即更新到最新版本以关闭此安全缺口。不同产品的更新方式如下:

・手动申请:

IoTSuite SaaSComposer、IoTSuite Growth Linux docker 和 IoT Edge Windows 的用户必须直接联系研华技术支持,以获取官方修复版本。

・直接下载:

IoTSuite Starter Linux docker 和 IoT Edge Linux docker 的更新可通过研华官方渠道直接下载。

一款被 “几乎所有计算机硬件和操作系统” 采用的无损数据压缩引擎 zlib,被曝出一个高危漏洞。该漏洞编号为CVE-2026-22184,属于全球性缓冲区溢出漏洞,其通用漏洞评分系统(CVSS)分值高达9.3,对所有依赖该函数库中untgz工具的系统构成重大威胁。
该漏洞的根源在于untgz工具代码中存在一处基础性内存管理错误。攻击者只需传入一个超长的压缩包文件名,就能触发连锁式内存损坏,轻则造成系统崩溃,在最坏情况下,甚至可以实现远程代码执行
漏洞的核心问题出在TGZfname()函数中。据漏洞披露信息显示,该函数负责处理通过命令行传入的压缩包文件名,但它存在一个致命缺陷:直接通过无边界检查的strcpy()函数,将攻击者可控的压缩包文件名从argv[]数组复制到一个固定大小为 1024 字节的静态全局缓冲区中
这段代码在执行复制操作前,并未对输入数据的长度进行校验。这意味着,一旦攻击者传入的压缩包文件名长度超过 1024 字节,数据就会溢出缓冲区边界。
报告中解释道:“当传入的压缩包文件名长度超过 1024 字节时,会引发针对全局缓冲区末端的越界写入操作,进而造成内存损坏。”
该漏洞的极高危险性还体现在其攻击门槛极低这一特点上。存在缺陷的代码位于程序的入口环节,“在执行任何压缩包解析或校验操作之前,就会触发该漏洞代码,攻击者仅通过命令行输入就能轻易利用此漏洞”。
攻击者无需构造复杂的恶意文件结构,只需要在调用该工具时,传入一个 “长度足够的文件名参数” 即可发起攻击。
由于此次溢出针对的是全局静态数组,而非栈上分配的内存空间,因此造成的内存损坏具有极强的隐蔽性。报告指出,“内存损坏的影响可能超出该函数的作用域,对后续程序的运行逻辑产生干扰”,最终导致程序出现未定义行为或直接崩溃。
该漏洞造成的后果根据目标环境的编译器、系统架构以及内存布局的不同而有所差异,影响范围涵盖拒绝服务攻击(DoS)潜在代码执行等多个层面。
此漏洞影响范围覆盖所有版本号≤1.3.1.2 的 zlib。相关机构强烈建议,所有使用untgz工具的系统管理员和开发人员,立即评估自身系统的漏洞暴露情况,并尽快部署已修复漏洞的版本,以消除这一高危风险。

新加坡网络安全局(CSA)已就研华(Advantech)IoT 产品线中一个极具破坏性的漏洞发布高优先级警报。该漏洞编号为 CVE-2025-52694,CVSS 评分高达 10.0(满分),表明其属于需要管理员立即处理的严重威胁

该漏洞为 SQL 注入漏洞。根据安全公告,成功利用后可使 “未授权远程攻击者执行任意 SQL 命令”。

这意味着,如果受影响的服务暴露在互联网上,攻击者无需用户名或密码即可发起攻击。他们只需向数据库发送恶意命令,就可能窃取敏感数据、修改系统配置,甚至完全控制整个相连的 IoT 基础设施。

该漏洞由 HCMUTE 信息安全俱乐部的 Loi Nguyen Thang 先生发现,并与研华及新加坡网络安全局合作进行了协调披露。
漏洞影响研华 IoT 生态系统的多个组件,尤其是较旧版本的管理和边缘软件。受影响的产品包括:
  • IoTSuite SaaSComposer:3.4.15 之前的版本
  • IoTSuite Growth Linux docker:V2.0.2 之前的版本
  • IoTSuite Starter Linux docker:V2.0.2 之前的版本
  • IoT Edge Linux docker:V2.0.2 之前的版本
  • IoT Edge Windows:V2.0.2 之前的版本
官方建议用户和管理员立即更新到最新版本以关闭此安全缺口。不同产品的更新方式如下:

・手动申请:

IoTSuite SaaSComposer、IoTSuite Growth Linux docker 和 IoT Edge Windows 的用户必须直接联系研华技术支持,以获取官方修复版本。

・直接下载:

IoTSuite Starter Linux docker 和 IoT Edge Linux docker 的更新可通过研华官方渠道直接下载。

微软今日发布补丁,修复了其各类Windows操作系统及支持软件中至少113个安全漏洞。其中8个漏洞被微软评为最严重的"高危"级别,该公司警告称攻击者已在利用其中一个今日修复的漏洞。

本月微软零日漏洞——CVE-2026-20805——源于桌面窗口管理器(DWM)的缺陷,该组件是Windows系统中管理用户屏幕窗口的核心模块。Immersive网络威胁研究高级总监Kev Breen指出,尽管该漏洞仅获得5.5分的中等CVSS评分,但微软已确认其在野利用情况,表明威胁攻击者正利用此漏洞针对各类组织机构。

Breen表示此类漏洞常被用于破坏地址空间布局随机化(ASLR),这项核心操作系统安全控制机制旨在防范缓冲区溢出及其他内存操纵攻击。

Ivanti产品管理副总裁Chris Goettl注意到CVE-2026-20805影响所有当前受支持及扩展安全更新支持的Windows版本。他强调不应因该漏洞被标记为"重要"级别且CVSS评分相对较低而低估其严重性。

"基于风险的优先级评估方法要求将此漏洞视为比供应商评级或CVSS评分更高的严重级别,"他补充道。

本月修复的高危漏洞中包含两个Microsoft Office远程代码执行漏洞(CVE-2026-20952和CVE-2026-20953),仅需在预览窗格中查看恶意构造的消息即可触发。

我们在2025年10月补丁星期二发布的《"终结10"专题报告》中曾指出,微软在发现黑客利用调制解调器驱动程序漏洞入侵系统后,已从所有版本中移除该驱动。Rapid7的Adam Barnett透露,微软今日又因类似原因从Windows移除另外两款调制解调器驱动:微软已掌握功能完整的漏洞利用代码,该代码针对极其相似的调制解调器驱动中的权限提升漏洞(编号CVE-2023-31096)。

"这并非笔误,该漏洞最初由MITRE在两年前披露,原始研究人员还发布了可信的公开分析报告,"Barnett说明,"今日的Windows补丁移除了agrsm64.sys和agrsm.sys文件。这三款调制解调器驱动均源自同一家现已停止运营的第三方厂商,并已预置在Windows系统中数十年。对多数用户而言这些驱动移除不会引起注意,但在某些工业控制系统等特定场景中可能仍存在活跃的调制解调器。"

Barnett提出两个遗留问题:在完全打补丁的Windows设备中究竟还存在多少传统调制解调器驱动?在微软切断攻击者"依赖[有线]生存"的途径——即利用整类陈旧设备驱动进行攻击——之前,这些驱动还将暴露出多少可提升至SYSTEM权限的漏洞?

"尽管微软未宣称掌握CVE-2023-31096的利用证据,但2023年的相关分析报告与2025年移除其他Agere调制解调器驱动的举措,已为在此期间寻找Windows漏洞利用方式的人员释放了两个强烈信号,"Barnett强调,"需要说明的是,即使未连接调制解调器硬件,仅驱动文件的存在就足以让设备处于脆弱状态。"

Immersive、Ivanti和Rapid7均重点关注CVE-2026-21265,这是影响Windows安全启动的关键安全功能绕过漏洞。该安全功能旨在防范rootkit和bootkit等威胁,其依赖的一组证书将于2026年6月和10月到期。这些2011年颁发的证书过期后,未安装2023年新证书的Windows设备将无法继续接收安全启动安全修复。

Barnett特别提醒,在更新引导加载程序和BIOS时,必须针对特定操作系统与BIOS组合做好充分准备,错误的修复步骤可能导致系统无法启动。

"在信息安全领域十五年确实非常漫长,但自震网病毒时代以来一直为安全启动生态系统签名的微软根证书正面临失效倒计时,"Barnett指出,"微软早在2023年就发布了替换证书,同时推出CVE-2023-24932补丁,涵盖相关Windows更新以及后续修复步骤,以应对BlackLotus bootkit利用的安全启动绕过漏洞。"

Goettl同时提到Mozilla已发布Firefox和Firefox ESR更新,共修复34个漏洞,其中两个(CVE-2026-0891和CVE-2026-0892)疑似已被利用。两者均在Firefox 147(MFSA2026-01)中修复,CVE-2026-0891还在Firefox ESR 140.7(MFSA2026-03)中得以解决。

"除1月6日Chrome更新已修复的高危Chrome WebView漏洞(CVE-2026-0628)外,预计本周还将发布Google Chrome和Microsoft Edge更新,"Goettl补充道。

微软今日发布补丁,修复了其各类Windows操作系统及支持软件中至少113个安全漏洞。其中8个漏洞被微软评为最严重的"高危"级别,该公司警告称攻击者已在利用其中一个今日修复的漏洞。

本月微软零日漏洞——CVE-2026-20805——源于桌面窗口管理器(DWM)的缺陷,该组件是Windows系统中管理用户屏幕窗口的核心模块。Immersive网络威胁研究高级总监Kev Breen指出,尽管该漏洞仅获得5.5分的CVSS中等评分,微软已确认其在野利用情况,表明威胁攻击者正利用此漏洞针对各类组织。

Breen表示此类漏洞常被用于破坏地址空间布局随机化(ASLR),这项核心操作系统安全控制机制旨在防范缓冲区溢出及其他内存操纵攻击。

Ivanti产品管理副总裁Chris Goettl注意到CVE-2026-20805影响所有当前受支持及扩展安全更新支持的Windows版本。他指出若因该漏洞被标记为"重要"级别且CVSS评分相对较低而低估其严重性,将是个错误判断。

"基于风险的优先级评估方法要求将此漏洞视为比供应商评级或CVSS评分更高的严重级别,"他补充道。

本月修复的高危漏洞中包含两个Microsoft Office远程代码执行漏洞(CVE-2026-20952和CVE-2026-20953),仅需在预览窗格中查看恶意构造的消息即可触发。

我们在2025年10月补丁星期二发布的《"终结10"专题报告》中曾指出,微软在发现黑客利用调制解调器驱动程序漏洞入侵系统后,已从所有版本中移除该驱动。Rapid7的Adam Barnett透露,微软今日又因类似原因从Windows移除另外两款调制解调器驱动:微软已掌握功能完整的漏洞利用代码,该代码针对极其相似的调制解调器驱动中的权限提升漏洞(编号CVE-2023-31096)。

"这并非笔误,该漏洞最初由MITRE在两年前披露,原始研究者还发布了可信的公开分析报告,"Barnett说明,"今日的Windows补丁移除了agrsm64.sys和agrsm.sys文件。这三款调制解调器驱动均出自同一家现已停止运营的第三方厂商,并已预置在Windows系统中数十年。对多数用户而言这些驱动移除不会引起注意,但在某些工业控制系统等特定场景中,可能仍存在活跃的调制解调器。"

Barnett提出两个遗留问题:在完全打补丁的Windows设备上究竟还存在多少传统调制解调器驱动?在微软切断攻击者"依赖[有线]生存"的途径——即利用整类陈旧设备驱动进行攻击——之前,这些驱动还会暴露出多少SYSTEM权限提升漏洞?

"尽管微软未宣称掌握CVE-2023-31096的利用证据,但2023年的相关分析报告与2025年移除其他Agere调制解调器驱动的举措,已为在此期间寻找Windows漏洞利用途径的攻击者释放了两个强烈信号,"Barnett强调,"需要说明的是,即使未连接调制解调器硬件,仅驱动文件的存在就足以让设备处于脆弱状态。"

Immersive、Ivanti和Rapid7均重点关注CVE-2026-21265,这是影响Windows安全启动功能的高危安全特性绕过漏洞。该安全功能旨在防范rootkit和bootkit等威胁,其依赖的一组证书将于2026年6月和10月到期。这些2011年颁发的证书失效后,未安装2023年新证书的Windows设备将无法继续接收安全启动安全更新。

Barnett特别提醒,在更新引导加载程序和BIOS时,必须针对特定操作系统与BIOS组合做好充分准备,错误的修复步骤可能导致系统无法启动。

"在信息安全领域十五年确实非常漫长,但自震网病毒时代以来一直为安全启动生态系统签名的微软根证书正面临失效倒计时,"Barnett指出,"微软早在2023年就发布了替换证书,同时推出CVE-2023-24932补丁,涵盖相关Windows更新以及后续修复BlackLotus bootkit利用的安全启动绕过漏洞的步骤。"

Goettl提到Mozilla已发布Firefox和Firefox ESR更新,共修复34个漏洞,其中两个(CVE-2026-0891和CVE-2026-0892)疑似遭利用。两者均在Firefox 147(MFSA2026-01)中修复,CVE-2026-0891还在Firefox ESR 140.7(MFSA2026-03)中得以解决。

"除1月6日Chrome更新已修复的高危Chrome WebView漏洞(CVE-2026-0628)外,预计本周还将发布Google Chrome和Microsoft Edge更新,"Goettl补充道。