(20250331-20250406)

一、境外厂商产品漏洞

1、IBM Security Verify Access信息泄露漏洞（CNVD-2025-06210）

IBM Security Verify Access（ISAM）是美国国际商业机器（IBM）公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。IBM Security Verify Access存在信息泄露漏洞，该漏洞源于在通信通道中以明文形式传输敏感或安全关键数据，攻击者可利用该漏洞获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06210

2、Adobe Acrobat Reader资源管理错误漏洞（CNVD-2025-06310）

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Acrobat Reader存在安全漏洞，攻击者可利用该漏洞导致在当前用户的环境中执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06310

3、IBM ApplinX跨站请求伪造漏洞

IBM ApplinX是美国国际商业机器（IBM）公司的一个专注于将绿屏界面转换为基于Web的现代应用程序。IBM ApplinX存在跨站请求伪造漏洞，攻击者可利用该漏洞构建恶意URI，诱使请求，可以目标用户上下文执行恶意操作。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06205

4、NVIDIA Riva riva_quickstart访问控制错误漏洞

NVIDIA Riva是NVIDIA发布的一个完全加速的对话式AI应用框架，用于构建使用端到端的多模态对话式AI服务。NVIDIA Riva riva_quickstart存在访问控制错误漏洞，攻击者可利用该漏洞提交特殊的请求，导致数据篡改或拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06283

5、Adobe Illustrators栈缓冲区溢出漏洞（CNVD-2025-06309）

Adobe Illustrator是一款由Adobe公司开发的专业矢量图形设计软件，广泛应用于平面设计、插画创作、网页设计等领域。Adobe Illustrators在29.1、28.7.3及之前版本中存在栈缓冲区溢出漏洞。该漏洞是由于受影响版本在处理文件时，未能正确验证输入数据的边界导致栈缓冲区溢出。攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06309

二、境内厂商产品漏洞

1、Xiaomi router命令注入漏洞（CNVD-2025-06298）

‌Xiaomi router是中国小米（Xiaomi）公司的一系列无线路由器。Xiaomi routers存在命令注入漏洞，该漏洞源于对外接口返回的响应过滤不足，攻击者可以利用该漏洞通过劫持ISP或上层路由器来获取权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06298

2、Huawei HarmonyOS media library模块权限校验漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS media library模块存在权限校验漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06202

3、Xiaomi cloud service Application跨站脚本漏洞

Xiaomi cloud service Application是中国小米（Xiaomi）公司的一款云服务APP。Xiaomi cloud service Application存在跨站脚本漏洞，该漏洞源于白名单检查功能允许加载javascript协议，攻击者可以利用该漏洞窃取帐户的cookie。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06297

4、佳能Canon vb-c60摄像头存在远程控制后门漏洞

日本佳能是一家致力于图像、光学和办公自动化产品的日本公司，产品包括照相机、摄像机、复印机、传真机、影像扫描器和打印机等。佳能（canon）vb-c60摄像头存在远程控制后门漏洞，允许攻击者在无需身份认证的情况，向image.cgi发送带有特定参数的get请求，进而可控制摄像头上下，左右转动，调整焦距。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2015-02691

5、Xiaomi GetApps代码执行漏洞

Xiaomi GetApps是中国小米（Xiaomi）公司的一个全球应用商店。Xiaomi GetApps存在代码执行漏洞，攻击者可利用该漏洞执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-06293

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源：CNVD漏洞平台