2025年5月安全通告
发布时间:2025-06-21 12:52:43
新闻来源:贵州融创智云信息科技有限公司
1. 概述
根据国家信息安全漏洞库(CNNVD)统计,2025年5月新增安全漏洞共3984个,从厂商分布来看,WordPress漏洞数量最多,共发布923 个;从漏洞类型来看,跨站脚本漏洞占比最大,达到8.48%。本月新增漏洞中,超危漏洞315个、高危漏洞1142个、中危漏洞2376个、低危漏洞151个,相应修复率分别为60.96%、56.75%、83.97%以及68.22%。合计2938个漏洞已有修复补丁发布,本月整体修复率73.75%。 2025 年5月新增安全漏洞3984个,与上月(4030个)相比减少了1.15%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3884个。
图 1 2024 年 12 月至 2025 年 5 月漏洞新增数量统计图
2. 信息安全行业动态
2.1. 关于公开征求《网信部门行政处罚裁量权基准适用规定(征求意见稿)》意见的通知
2025年5月,国家互联网信息办公室发布了《关于公开征求《网信部门行政处罚裁量权基准适用规定(征求意见稿)》意见的通知》,面向社会各界公开征求意见。
此次修订草案主要规范网信部门行政处罚行为,保护公民、法人和其他组织的合法权益,根据《中华人民共和国行政处罚法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网信部门行政执法程序规定》等法律、法规、规章和国家有关规定。
规定所称行政处罚裁量权基准,是指网信部门在实施行政处罚时,按照裁量涉及的违法行为的事实、性质、情节、社会危害程度、当事人主观过错等因素,对法律、法规、规章中的原则性规定或者具有一定弹性的执法权限、裁量幅度等内容进行细化量化而形成的具体执法尺度和标准。
修订草案的亮点包括:
1.该规定将行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等具体阶次,并对每个阶次的适用情形进行了明确规定,为网信部门实施行政处罚提供了清晰的操作指引,有助于提升执法的准确性和公信力。
2.在判断违法行为性质、情节以及社会危害程度等方面,综合考量了多种因素,如违法行为的具体方法、持续时间、危害对象、违法所得、当事人改正态度等,使行政处罚更加全面、精准地反映违法行为的实际情况,确保处罚结果的公平公正。
3.上级网信部门通过行政执法情况检查、案卷评查等方式对下级部门行使行政处罚裁量权进行监督,并明确规定了在特定情况下可以调整适用裁量基准的程序和条件,同时强调对不规范适用裁量权基准造成严重后果的责任追究,形成了较为完善的监督与调整机制,保障了行政处罚裁量权的合理、合法行使。
该草案自发布之日起,已面向社会各界公开征求意见,公众可通过指定渠道提交反馈意见。
2.2. 新型人工智能安全风险引发关注
据相关网络安全研究机构分析,当前新型人工智能技术及应用面临着多方面的安全风险,亟需引起重视并采取有效应对措施。以下是具体介绍:
(一)数据泄露与隐私侵犯
1.漏洞信息:许多人工智能应用需要大量数据来进行训练和优化,这就导致了数据泄露风险的增加。如生成式人工智能在收集海量数据时,普通用户难以理解数据收集的合规边界,可能在不经意间输入敏感隐私信息,这些信息一旦被用于训练或存储时发生泄露,将对个人隐私造成严重威胁。特别是某些医疗、金融等领域的人工智能应用,涉及大量高度敏感的个人数据,如患者的病例、用户的财务信息等,若被泄露,后果不堪设想。
2.风险示例:某医疗人工智能辅助诊断系统,在收集患者病例数据用于模型训练时,由于数据加密措施不到位,导致部分患者的敏感病例信息被黑客窃取,不仅侵犯了患者的隐私,还可能引发医疗纠纷和信任危机。
(二)模型安全漏洞
1.漏洞信息:人工智能模型本身也可能存在安全漏洞。例如,开源人工智能绘图工具 ComfyUI 存在任意文件读取、远程代码执行等 5 个安全漏洞,攻击者可借此执行远程恶意代码、获取服务器权限并窃取数据。此外,一些大模型还可能面临提示词攻击、越狱攻击等新型攻击手法,攻击者通过精心构造的提示词,诱使模型产生不当或有害的输出。
2.风险示例:某智能客服系统采用的大语言模型,被攻击者通过特定的提示词组合,诱导模型生成包含企业内部机密信息的内容,导致企业商业机密泄露。
(三)对抗攻击与深度伪造
1.漏洞信息:攻击者可以利用人工智能技术发起对抗攻击,生成对抗样本,使人工智能模型对这些样本产生错误的判断,从而影响模型的正常运行和决策。此外,深度伪造技术也成为一种严重的安全威胁,攻击者可以利用该技术伪造他人的语音、图像或视频,用于诈骗、传播虚假信息等恶意目的。
2.风险示例:在人脸识别支付系统中,攻击者通过对抗攻击生成的伪造人脸图像,成功骗过了人脸识别系统,导致他人账户资金被盗取。还有不法分子利用深度伪造技术伪造企业高管的视频影像,发布虚假的企业决策信息,引发企业股价波动和社会恐慌。
(四)基础设施安全风险
1.漏洞信息:人工智能基础设施的弱点可能会影响到众多用户和系统。例如,妥协 NVIDIA 容器工具包允许攻击者访问文件系统、运行恶意代码并提升权限,用于 GPU 管理的开源 AI 框架 Ray 也遭到过妥协。
2.风险示例:某大型数据中心使用的人工智能基础设施存在安全漏洞,黑客利用该漏洞入侵数据中心,篡改了正在运行的人工智能模型参数,导致多个依赖该模型的企业服务出现故障,造成巨大的经济损失和社会影响。
(五)供应链安全漏洞
1.漏洞信息:AI 供应链漏洞是另一个值得关注的重大问题。约 60% 的组织依赖开源 AI 组件或生态系统,这使得攻击者有机会入侵这些广泛使用的工具。例如一种名为“昏昏欲睡的泡菜”的攻击方式,使得攻击者即使在分发后也能篡改AI模型,导致检测变得极其困难。
2.风险示例:某科技公司在开发一款智能语音助手产品时,使用的开源 AI 语音识别组件被植入了恶意代码,产品上市后,攻击者通过该恶意代码获取了大量用户的语音数据,用于非法目的,并且给公司的品牌声誉带来了沉重打击。
3. 信息安全事件
3.1. 微软 5 月补丁日披露多项高危漏洞
事件背景 :微软官方在 2025 年 5 月 13 日发布了 5 月安全更新,针对 78 个 Microsoft CVE 和 5 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 11 个严重漏洞(Critical)、66 个重要漏洞(Important)和 1 个低危漏洞(Low)。从漏洞影响上看,有 29 个远程代码执行漏洞、20 个特权提升漏洞、16 个信息泄露漏洞、7 个拒绝服务漏洞、4 个欺骗漏洞和 2 个安全功能绕过漏洞。
事件详情 :本次披露的漏洞中,部分漏洞如 Windows 脚本引擎内存损坏漏洞(CVE-2025-30397)、Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2025-32706)、Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2025-32709)、Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2025-32701)、Microsoft DWM 核心库权限提升漏洞(CVE-2025-30400)等已被发现在野利用。此外,还有漏洞如 Visual Studio 远程代码执行漏洞(CVE-2025-32702)、Microsoft Defender for Identity 欺骗漏洞(CVE-2025-26685)等被公开披露。攻击者可借助这些漏洞,通过精心构造的恶意代码,在受影响的系统上实现权限提升或远程代码执行,进而完全控制目标系统,威胁用户数据安全及系统稳定性。
安全建议 :相关用户和企业应高度重视,及时安装微软官方发布的安全补丁,以修复漏洞,防止系统遭受攻击。同时,定期对系统进行安全检测与维护,采取合理的安全配置策略,如限制不必要的文件上传、设置严格的访问控制权限等,进一步提升系统安全性。
3.2. 微软办公软件及服务漏洞
事件背景 :本月披露的多处漏洞影响微软办公软件及服务,包括 Microsoft Office、Microsoft SharePoint Server、Microsoft Excel、Microsoft PowerPoint 等。
事件详情 :Microsoft Office 远程代码执行漏洞(CVE-2025-30386、CVE-2025-30377) :由于 Microsoft Office 中的释放后重用错误而存在漏洞。远程攻击者可以欺骗受害者单击特殊制作的链接并在目标系统上执行任意代码。
Microsoft SharePoint Server权限提升漏洞(CVE-2025-29976) :Microsoft SharePoint Server 中不正确的权限管理允许授权攻击者在本地提升权限。
Microsoft Excel 远程代码执行漏洞(CVE-2025-29977、CVE-2025-30379、CVE-2025-30381、CVE-2025-30383、CVE-2025-30393、CVE-2025-32704):攻击者可利用这些漏洞,在受害者打开特制的 Excel 文件时,在目标系统上执行任意代码。
Microsoft PowerPoint 远程代码执行漏洞(CVE-2025-29978) :攻击者可制作恶意的 PowerPoint 文件,诱使受害者打开后,在目标系统上执行任意代码。
安全建议 :用户应尽快更新微软的安全补丁,避免因使用存在漏洞的办公软件而导致数据泄露或系统被控制等安全问题。同时,在日常使用中,不要轻易点击不明链接或打开陌生来源的文档,以防被攻击者利用漏洞进行攻击。
3.3. 开发工具与服务漏洞
事件背景 :本月披露的多处漏洞影响微软的开发工具与服务,包括 Visual Studio、Azure DevOps Server、Azure 自动化等。
事件详情 :Visual Studio 远程代码执行漏洞(CVE-2025-32702):攻击者可制作恶意文件,并通过网络钓鱼等方式诱使受害者下载和打开。一旦受害者中招,攻击者便能在其系统上远程执行任意代码,进而控制受害者的计算机,窃取数据或进行其他恶意活动。Azure DevOps Server 特权提升漏洞(CVE-2025-29813):攻击者可利用该漏洞在 Azure DevOps Server 上提升权限,从而获取更高的访问权限,进而可能影响整个开发环境的安全。Azure 自动化特权提升漏洞(CVE-2025-29827):该漏洞允许攻击者在 Azure 自动化服务中提升权限,可能导致对自动化任务和相关资源的未授权访问和操作。
安全建议 :相关用户和企业应高度重视,及时安装微软官方发布的安全补丁,以修复漏洞,防止系统遭受攻击。同时,定期对系统进行安全检测与维护,采取合理的安全配置策略,如限制不必要的文件上传、设置严格的访问控制权限等,进一步提升系统安全性。
4. 信息安全漏洞
4.1. 关于微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞76个,影响到微软产品的其他厂商漏洞0个。微软Microsoft Windows、Microsoft Windows Media Foundation、Microsoft Visual Studio、Microsoft .NET等多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(一) 漏洞介绍
2025年5月13日,微软发布了2025年5月份安全更新,共76个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows Media Foundation、Microsoft Visual Studio和Microsoft .NET、Microsoft Office、Microsoft Universal Print、Microsoft Active Directory Certificate Services等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞52个,中危漏洞23个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
(二) 漏洞详情
此次更新共76个漏洞的补丁程序,包括76个新增漏洞的补丁程序。此次更新共包括71个新增漏洞的补丁程序,其中超危漏洞1个,高危漏洞48个,中危漏洞22个。
序号 | 漏洞名称 | CNNVD编号 | CVE编号 | 危害等级 | 官方链接 |
1 | Microsoft Azure 路径遍历漏洞 | CNNVD-202505-1867 | CVE-2025-30387 | 超危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387 |
2 | Microsoft Visual Studio Code 安全漏洞 | CNNVD-202505-1805 | CVE-2025-21264 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21264 |
3 | Microsoft Windows Kernel 安全漏洞 | CNNVD-202505-1812 | CVE-2025-24063 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24063 |
4 | Microsoft Visual Studio和Microsoft .NET 安全漏洞 | CNNVD-202505-1773 | CVE-2025-26646 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26646 |
5 | Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞 | CNNVD-202505-1811 | CVE-2025-26677 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26677 |
6 | Microsoft Windows Secure Kernel Mode 安全漏洞 | CNNVD-202505-1815 | CVE-2025-27468 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27468 |
7 | Microsoft Dataverse 安全漏洞 | CNNVD-202505-1819 | CVE-2025-29826 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29826 |
8 | Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞 | CNNVD-202505-1823 | CVE-2025-29831 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29831 |
9 | Microsoft Windows Virtual Machine 安全漏洞 | CNNVD-202505-1825 | CVE-2025-29833 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29833 |
10 | Microsoft Windows 代码问题漏洞 | CNNVD-202505-1830 | CVE-2025-29838 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29838 |
11 | Microsoft Windows Media Foundation 安全漏洞 | CNNVD-202505-1833 | CVE-2025-29840 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29840 |
12 | Microsoft Universal Print 资源管理错误漏洞 | CNNVD-202505-1836 | CVE-2025-29841 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29841 |
13 | Microsoft UrlMon 安全漏洞 | CNNVD-202505-1835 | CVE-2025-29842 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29842 |
14 | Microsoft Windows Media Foundation 安全漏洞 | CNNVD-202505-1847 | CVE-2025-29962 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29962 |
15 | Microsoft Windows Media Foundation 安全漏洞 | CNNVD-202505-1850 | CVE-2025-29963 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29963 |
16 | Microsoft Windows Media Foundation 安全漏洞 | CNNVD-202505-1796 | CVE-2025-29964 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29964 |
17 | Microsoft Windows Remote Desktop Services 安全漏洞 | CNNVD-202505-1813 | CVE-2025-29966 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29966 |
18 | Microsoft Windows Remote Desktop Gateway 安全漏洞 | CNNVD-202505-1816 | CVE-2025-29967 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29967 |
19 | Microsoft Windows 安全漏洞 | CNNVD-202505-1824 | CVE-2025-29969 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29969 |
20 | Microsoft Brokering File System 资源管理错误漏洞 | CNNVD-202505-1826 | CVE-2025-29970 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29970 |
21 | Microsoft Windows Defender 缓冲区错误漏洞 | CNNVD-202505-1829 | CVE-2025-29971 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29971 |
22 | Microsoft Azure 访问控制错误漏洞 | CNNVD-202505-1834 | CVE-2025-29973 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29973 |
23 | Microsoft PC Manager 后置链接漏洞 | CNNVD-202505-1837 | CVE-2025-29975 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29975 |
24 | Microsoft SharePoint 安全漏洞 | CNNVD-202505-1840 | CVE-2025-29976 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29976 |
25 | Microsoft Excel 资源管理错误漏洞 | CNNVD-202505-1844 | CVE-2025-29977 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29977 |
26 | Microsoft Office PowerPoint 资源管理错误漏洞 | CNNVD-202505-1846 | CVE-2025-29978 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29978 |
27 | Microsoft Excel 安全漏洞 | CNNVD-202505-1849 | CVE-2025-29979 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29979 |
28 | Microsoft Excel 安全漏洞 | CNNVD-202505-1848 | CVE-2025-30375 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30375 |
29 | Microsoft Excel 安全漏洞 | CNNVD-202505-1851 | CVE-2025-30376 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30376 |
30 | Microsoft Office 资源管理错误漏洞 | CNNVD-202505-1852 | CVE-2025-30377 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30377 |
31 | Microsoft SharePoint 代码问题漏洞 | CNNVD-202505-1854 | CVE-2025-30378 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30378 |
32 | Microsoft Excel 安全漏洞 | CNNVD-202505-1855 | CVE-2025-30379 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30379 |
33 | Microsoft Excel 安全漏洞 | CNNVD-202505-1858 | CVE-2025-30381 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30381 |
34 | Microsoft Office Sharepoint Server 代码问题漏洞 | CNNVD-202505-1861 | CVE-2025-30382 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30382 |
35 | Microsoft Excel 安全漏洞 | CNNVD-202505-1862 | CVE-2025-30383 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30383 |
36 | Microsoft Office Sharepoint Server 代码问题漏洞 | CNNVD-202505-1864 | CVE-2025-30384 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30384 |
37 | Microsoft Windows Common Log File System Driver 资源管理错误漏洞 | CNNVD-202505-1866 | CVE-2025-30385 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30385 |
38 | Microsoft Office 资源管理错误漏洞 | CNNVD-202505-1865 | CVE-2025-30386 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30386 |
39 | Microsoft Win32k 安全漏洞 | CNNVD-202505-1868 | CVE-2025-30388 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30388 |
40 | Microsoft Excel 资源管理错误漏洞 | CNNVD-202505-1869 | CVE-2025-30393 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30393 |
41 | Microsoft Scripting Engine 安全漏洞 | CNNVD-202505-1871 | CVE-2025-30397 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397 |
42 | Microsoft DWM Core Library 资源管理错误漏洞 | CNNVD-202505-1872 | CVE-2025-30400 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400 |
43 | Microsoft Windows Common Log File System Driver 资源管理错误漏洞 | CNNVD-202505-1873 | CVE-2025-32701 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701 |
44 | Microsoft Visual Studio 命令注入漏洞 | CNNVD-202505-1874 | CVE-2025-32702 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32702 |
45 | Microsoft Excel 安全漏洞 | CNNVD-202505-1876 | CVE-2025-32704 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32704 |
46 | Microsoft Outlook 缓冲区错误漏洞 | CNNVD-202505-1878 | CVE-2025-32705 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32705 |
47 | Microsoft Windows Common Log File System Driver 输入验证错误漏洞 | CNNVD-202505-1877 | CVE-2025-32706 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706 |
48 | Microsoft Windows NTFS 缓冲区错误漏洞 | CNNVD-202505-1884 | CVE-2025-32707 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32707 |
49 | Microsoft Windows Ancillary Function Driver for WinSock 资源管理错误漏洞 | CNNVD-202505-1880 | CVE-2025-32709 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709 |
50 | Microsoft Defender 安全漏洞 | CNNVD-202505-1777 | CVE-2025-26684 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26684 |
51 | Microsoft Defender 授权问题漏洞 | CNNVD-202505-1814 | CVE-2025-26685 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26685 |
52 | Microsoft Windows Hardware Lab Kit 信任管理问题漏洞 | CNNVD-202505-1817 | CVE-2025-27488 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27488 |
53 | Microsoft Windows 安全漏洞 | CNNVD-202505-1818 | CVE-2025-29829 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29829 |
54 | Microsoft Windows Routing and Remote Access Service 安全漏洞 | CNNVD-202505-1821 | CVE-2025-29830 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29830 |
55 | Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞 | CNNVD-202505-1822 | CVE-2025-29832 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29832 |
56 | Microsoft Windows Routing and Remote Access Service 安全漏洞 | CNNVD-202505-1831 | CVE-2025-29835 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29835 |
57 | Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞 | CNNVD-202505-1827 | CVE-2025-29836 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29836 |
58 | Microsoft Windows Installer 后置链接漏洞 | CNNVD-202505-1828 | CVE-2025-29837 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29837 |
59 | Microsoft Windows File Server 缓冲区错误漏洞 | CNNVD-202505-1832 | CVE-2025-29839 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29839 |
60 | Microsoft Lightweight Directory Access Protocol(LDAP) 资源管理错误漏洞 | CNNVD-202505-1838 | CVE-2025-29954 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29954 |
61 | Microsoft Hyper-V 输入验证错误漏洞 | CNNVD-202505-1842 | CVE-2025-29955 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29955 |
62 | Microsoft Windows SMB Client 安全漏洞 | CNNVD-202505-1841 | CVE-2025-29956 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29956 |
63 | Microsoft Windows Deployment Services 资源管理错误漏洞 | CNNVD-202505-1839 | CVE-2025-29957 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29957 |
64 | Microsoft Windows Routing and Remote Access Service 安全漏洞 | CNNVD-202505-1843 | CVE-2025-29958 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29958 |
65 | Microsoft Windows Routing and Remote Access Service 安全漏洞 | CNNVD-202505-1784 | CVE-2025-29959 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29959 |
66 | Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞 | CNNVD-202505-1790 | CVE-2025-29960 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29960 |
67 | Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞 | CNNVD-202505-1845 | CVE-2025-29961 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29961 |
68 | Microsoft Active Directory Certificate Services 输入验证错误漏洞 | CNNVD-202505-1820 | CVE-2025-29968 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29968 |
69 | Microsoft Windows Kernel 数字错误漏洞 | CNNVD-202505-1853 | CVE-2025-29974 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29974 |
70 | Microsoft Windows Remote Desktop Gateway 安全漏洞 | CNNVD-202505-1870 | CVE-2025-30394 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30394 |
71 | Microsoft Visual Studio 安全漏洞 | CNNVD-202505-1875 | CVE-2025-32703 | 中危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32703 |
此次更新共包括5个更新漏洞的补丁程序,其中高危漏洞4个,中危漏洞1个。
序号 | 漏洞名称 | CNNVD编号 | CVE编号 | 危害等级 | 官方链接 |
1 | Microsoft Windows Remote Desktop Services 竞争条件问题漏洞 | CNNVD-202412-1354 | CVE-2024-49128 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49128 |
2 | Microsoft Office 资源管理错误漏洞 | CNNVD-202503-1291 | CVE-2025-26629 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26629 |
3 | Microsoft Lightweight Directory Access Protocol(LDAP) 资源管理错误漏洞 | CNNVD-202504-1429 | CVE-2025-26673 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26673 |
4 | Microsoft Office 资源管理错误漏洞 | CNNVD-202504-1355 | CVE-2025-29823 | 高危 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29823 |
5 | Microsoft Windows DVD Maker 跨站请求伪造漏洞 | CNNVD-201703-793 | CVE-2017-0045 | 中危 | https://technet.microsoft.com/zh-cn/library/security/ms17-020 |
(三)修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
4.2. 关于Fortinet多款产品安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet多款产品安全漏洞(CNNVD-202505-1780、CVE-2025-32756)情况的报送。未经身份验证的远程攻击者可以通过发送特制的HTTP请求触发漏洞,进而执行任意代码。Fortinet多款产品均受此漏洞影响。目前,Fortinet官方已发布新版本修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。
(一)漏洞介绍
Fortinet FortiRecorder、Fortinet FortiMail等都是美国飞塔(Fortinet)公司的产品。Fortinet FortiVoice是一个统一通信和协作服务系统,Fortinet FortiRecorder是一套基于Web的网络视频录像机管理系统。Fortinet FortiMail是一套电子邮件安全网关产品。FortiNDR 是一套网络检测与响应系统,FortiCamera是一套视频监控系统。
Fortinet多款产品存在安全漏洞,漏洞源于产品在处理特定 HTTP 请求时,未对请求中的hashcookie进行充分边界检查,导致远程未授权攻击者可发送特制的HTTP请求触发栈缓冲区溢出,进而执行任意代码。
(二)危害影响
Fortinet FortiVoice 7.2.0版本、7.0.0至7.0.6版本、6.4.0至6.4.10版本、FortiRecorder 7.2.0至7.2.3版本、7.0.0至7.0.5版本、6.4.0至6.4.5版本、FortiMail 7.6.0至7.6.2版本、7.4.0至7.4.4版本、7.2.0至7.2.7版本、7.0.0至7.0.8版本、FortiNDR 7.6.0版本、7.4.0至7.4.7版本、7.2.0至7.2.4版本、7.0.0至7.0.6版本、FortiCamera 2.1.0至2.1.3版本、2.0所有版本、1.1所有版本均受漏洞影响。
(三)修复建议
目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接如下:
https://fortiguard.fortinet.com/psirt/FG-IR-25-254