首页 > 新闻资讯 > 互联网安全公告 > 详情信息

2025年5月安全通告

发布时间:2025-06-21 12:52:43

新闻来源:贵州融创智云信息科技有限公司

1. 概述

根据国家信息安全漏洞库(CNNVD)统计,2025年5月新增安全漏洞共3984个,从厂商分布来看,WordPress漏洞数量最多,共发布923 个;从漏洞类型来看,跨站脚本漏洞占比最大,达到8.48%。本月新增漏洞中,超危漏洞315个、高危漏洞1142个、中危漏洞2376个、低危漏洞151个,相应修复率分别为60.96%、56.75%、83.97%以及68.22%。合计2938个漏洞已有修复补丁发布,本月整体修复率73.75%。 2025 年5月新增安全漏洞3984个,与上月(4030个)相比减少了1.15%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3884个。

image.png 

1 2024 年 12 月至 2025 年 5 月漏洞新增数量统计图

2. 信息安全行业动态

2.1. 关于公开征求《网信部门行政处罚裁量权基准适用规定(征求意见稿)》意见的通知

2025年5月,国家互联网信息办公室发布了《关于公开征求《网信部门行政处罚裁量权基准适用规定(征求意见稿)》意见的通知》,面向社会各界公开征求意见。

此次修订草案主要规范网信部门行政处罚行为,保护公民、法人和其他组织的合法权益,根据《中华人民共和国行政处罚法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网信部门行政执法程序规定》等法律、法规、规章和国家有关规定。

规定所称行政处罚裁量权基准,是指网信部门在实施行政处罚时,按照裁量涉及的违法行为的事实、性质、情节、社会危害程度、当事人主观过错等因素,对法律、法规、规章中的原则性规定或者具有一定弹性的执法权限、裁量幅度等内容进行细化量化而形成的具体执法尺度和标准。

修订草案的亮点包括:

1.该规定将行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等具体阶次,并对每个阶次的适用情形进行了明确规定,为网信部门实施行政处罚提供了清晰的操作指引,有助于提升执法的准确性和公信力。

2.在判断违法行为性质、情节以及社会危害程度等方面,综合考量了多种因素,如违法行为的具体方法、持续时间、危害对象、违法所得、当事人改正态度等,使行政处罚更加全面、精准地反映违法行为的实际情况,确保处罚结果的公平公正。

3.上级网信部门通过行政执法情况检查、案卷评查等方式对下级部门行使行政处罚裁量权进行监督,并明确规定了在特定情况下可以调整适用裁量基准的程序和条件,同时强调对不规范适用裁量权基准造成严重后果的责任追究,形成了较为完善的监督与调整机制,保障了行政处罚裁量权的合理、合法行使。

该草案自发布之日起,已面向社会各界公开征求意见,公众可通过指定渠道提交反馈意见。

2.2. 新型人工智能安全风险引发关注

据相关网络安全研究机构分析,当前新型人工智能技术及应用面临着多方面的安全风险,亟需引起重视并采取有效应对措施。以下是具体介绍:

(一)数据泄露与隐私侵犯

 1.漏洞信息:许多人工智能应用需要大量数据来进行训练和优化,这就导致了数据泄露风险的增加。如生成式人工智能在收集海量数据时,普通用户难以理解数据收集的合规边界,可能在不经意间输入敏感隐私信息,这些信息一旦被用于训练或存储时发生泄露,将对个人隐私造成严重威胁。特别是某些医疗、金融等领域的人工智能应用,涉及大量高度敏感的个人数据,如患者的病例、用户的财务信息等,若被泄露,后果不堪设想。

 2.风险示例:某医疗人工智能辅助诊断系统,在收集患者病例数据用于模型训练时,由于数据加密措施不到位,导致部分患者的敏感病例信息被黑客窃取,不仅侵犯了患者的隐私,还可能引发医疗纠纷和信任危机。

(二)模型安全漏洞

 1.漏洞信息:人工智能模型本身也可能存在安全漏洞。例如,开源人工智能绘图工具 ComfyUI 存在任意文件读取、远程代码执行等 5 个安全漏洞,攻击者可借此执行远程恶意代码、获取服务器权限并窃取数据。此外,一些大模型还可能面临提示词攻击、越狱攻击等新型攻击手法,攻击者通过精心构造的提示词,诱使模型产生不当或有害的输出。

 2.风险示例:某智能客服系统采用的大语言模型,被攻击者通过特定的提示词组合,诱导模型生成包含企业内部机密信息的内容,导致企业商业机密泄露。

(三)对抗攻击与深度伪造

 1.漏洞信息:攻击者可以利用人工智能技术发起对抗攻击,生成对抗样本,使人工智能模型对这些样本产生错误的判断,从而影响模型的正常运行和决策。此外,深度伪造技术也成为一种严重的安全威胁,攻击者可以利用该技术伪造他人的语音、图像或视频,用于诈骗、传播虚假信息等恶意目的。

 2.风险示例:在人脸识别支付系统中,攻击者通过对抗攻击生成的伪造人脸图像,成功骗过了人脸识别系统,导致他人账户资金被盗取。还有不法分子利用深度伪造技术伪造企业高管的视频影像,发布虚假的企业决策信息,引发企业股价波动和社会恐慌。

(四)基础设施安全风险

1.漏洞信息:人工智能基础设施的弱点可能会影响到众多用户和系统。例如,妥协 NVIDIA 容器工具包允许攻击者访问文件系统、运行恶意代码并提升权限,用于 GPU 管理的开源 AI 框架 Ray 也遭到过妥协。

2.风险示例:某大型数据中心使用的人工智能基础设施存在安全漏洞,黑客利用该漏洞入侵数据中心,篡改了正在运行的人工智能模型参数,导致多个依赖该模型的企业服务出现故障,造成巨大的经济损失和社会影响。

(五)供应链安全漏洞

 1.漏洞信息:AI 供应链漏洞是另一个值得关注的重大问题。约 60% 的组织依赖开源 AI 组件或生态系统,这使得攻击者有机会入侵这些广泛使用的工具。例如一种名为“昏昏欲睡的泡菜”的攻击方式,使得攻击者即使在分发后也能篡改AI模型,导致检测变得极其困难。

 2.风险示例:某科技公司在开发一款智能语音助手产品时,使用的开源 AI 语音识别组件被植入了恶意代码,产品上市后,攻击者通过该恶意代码获取了大量用户的语音数据,用于非法目的,并且给公司的品牌声誉带来了沉重打击。

3. 信息安全事件

3.1. 微软 5 月补丁日披露多项高危漏洞

事件背景 :微软官方在 2025 年 5 月 13 日发布了 5 月安全更新,针对 78 个 Microsoft CVE 和 5 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 11 个严重漏洞(Critical)、66 个重要漏洞(Important)和 1 个低危漏洞(Low)。从漏洞影响上看,有 29 个远程代码执行漏洞、20 个特权提升漏洞、16 个信息泄露漏洞、7 个拒绝服务漏洞、4 个欺骗漏洞和 2 个安全功能绕过漏洞。

事件详情 :本次披露的漏洞中,部分漏洞如 Windows 脚本引擎内存损坏漏洞(CVE-2025-30397)、Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2025-32706)、Windows Ancillary Function Driver for WinSock 权限提升漏洞(CVE-2025-32709)、Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2025-32701)、Microsoft DWM 核心库权限提升漏洞(CVE-2025-30400)等已被发现在野利用。此外,还有漏洞如 Visual Studio 远程代码执行漏洞(CVE-2025-32702)、Microsoft Defender for Identity 欺骗漏洞(CVE-2025-26685)等被公开披露。攻击者可借助这些漏洞,通过精心构造的恶意代码,在受影响的系统上实现权限提升或远程代码执行,进而完全控制目标系统,威胁用户数据安全及系统稳定性。

安全建议 :相关用户和企业应高度重视,及时安装微软官方发布的安全补丁,以修复漏洞,防止系统遭受攻击。同时,定期对系统进行安全检测与维护,采取合理的安全配置策略,如限制不必要的文件上传、设置严格的访问控制权限等,进一步提升系统安全性。

3.2. 微软办公软件及服务漏洞

事件背景 :本月披露的多处漏洞影响微软办公软件及服务,包括 Microsoft Office、Microsoft SharePoint Server、Microsoft Excel、Microsoft PowerPoint 等。

事件详情 Microsoft Office 远程代码执行漏洞(CVE-2025-30386、CVE-2025-30377) :由于 Microsoft Office 中的释放后重用错误而存在漏洞。远程攻击者可以欺骗受害者单击特殊制作的链接并在目标系统上执行任意代码。

Microsoft SharePoint Server限提升漏洞(CVE-2025-29976) :Microsoft SharePoint Server 中不正确的权限管理允许授权攻击者在本地提升权限。

Microsoft Excel 远程代码执行漏洞(CVE-2025-29977、CVE-2025-30379、CVE-2025-30381、CVE-2025-30383、CVE-2025-30393、CVE-2025-32704):攻击者可利用这些漏洞,在受害者打开特制的 Excel 文件时,在目标系统上执行任意代码。

Microsoft PowerPoint 远程代码执行漏洞(CVE-2025-29978) :攻击者可制作恶意的 PowerPoint 文件,诱使受害者打开后,在目标系统上执行任意代码。

安全建议 :用户应尽快更新微软的安全补丁,避免因使用存在漏洞的办公软件而导致数据泄露或系统被控制等安全问题。同时,在日常使用中,不要轻易点击不明链接或打开陌生来源的文档,以防被攻击者利用漏洞进行攻击。

3.3. 开发工具与服务漏洞

事件背景 :本月披露的多处漏洞影响微软的开发工具与服务,包括 Visual Studio、Azure DevOps Server、Azure 自动化等。

事件详情 Visual Studio 远程代码执行漏洞(CVE-2025-32702):攻击者可制作恶意文件,并通过网络钓鱼等方式诱使受害者下载和打开。一旦受害者中招,攻击者便能在其系统上远程执行任意代码,进而控制受害者的计算机,窃取数据或进行其他恶意活动。Azure DevOps Server 特权提升漏洞(CVE-2025-29813):攻击者可利用该漏洞在 Azure DevOps Server 上提升权限,从而获取更高的访问权限,进而可能影响整个开发环境的安全。Azure 自动化特权提升漏洞(CVE-2025-29827):该漏洞允许攻击者在 Azure 自动化服务中提升权限,可能导致对自动化任务和相关资源的未授权访问和操作。

安全建议 :相关用户和企业应高度重视,及时安装微软官方发布的安全补丁,以修复漏洞,防止系统遭受攻击。同时,定期对系统进行安全检测与维护,采取合理的安全配置策略,如限制不必要的文件上传、设置严格的访问控制权限等,进一步提升系统安全性。

4. 信息安全漏洞

4.1. 关于微软多个安全漏洞的通报

近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞76个,影响到微软产品的其他厂商漏洞0个。微软Microsoft Windows、Microsoft Windows Media Foundation、Microsoft Visual Studio、Microsoft .NET等多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

(一) 漏洞介绍

2025年5月13日,微软发布了2025年5月份安全更新,共76个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows Media Foundation、Microsoft Visual Studio和Microsoft .NET、Microsoft Office、Microsoft Universal Print、Microsoft Active Directory Certificate Services等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞52个,中危漏洞23个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:

https://portal.msrc.microsoft.com/zh-cn/security-guidance

(二) 漏洞详情

此次更新共76个漏洞的补丁程序,包括76个新增漏洞的补丁程序。此次更新共包括71个新增漏洞的补丁程序,其中超危漏洞1个,高危漏洞48个,中危漏洞22个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

Microsoft Azure 路径遍历漏洞

CNNVD-202505-1867

CVE-2025-30387

超危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387

2

Microsoft Visual Studio Code 安全漏洞

CNNVD-202505-1805

CVE-2025-21264

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21264

3

Microsoft Windows Kernel 安全漏洞

CNNVD-202505-1812

CVE-2025-24063

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24063

4

Microsoft Visual Studio和Microsoft .NET 安全漏洞

CNNVD-202505-1773

CVE-2025-26646

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26646

5

Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞

CNNVD-202505-1811

CVE-2025-26677

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26677

6

Microsoft Windows Secure Kernel Mode 安全漏洞

CNNVD-202505-1815

CVE-2025-27468

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27468

7

Microsoft Dataverse 安全漏洞

CNNVD-202505-1819

CVE-2025-29826

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29826

8

Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞

CNNVD-202505-1823

CVE-2025-29831

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29831

9

Microsoft Windows Virtual Machine 安全漏洞

CNNVD-202505-1825

CVE-2025-29833

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29833

10

Microsoft Windows 代码问题漏洞

CNNVD-202505-1830

CVE-2025-29838

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29838

11

Microsoft Windows Media Foundation 安全漏洞

CNNVD-202505-1833

CVE-2025-29840

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29840

12

Microsoft Universal Print 资源管理错误漏洞

CNNVD-202505-1836

CVE-2025-29841

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29841

13

Microsoft UrlMon 安全漏洞

CNNVD-202505-1835

CVE-2025-29842

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29842

14

Microsoft Windows Media Foundation 安全漏洞

CNNVD-202505-1847

CVE-2025-29962

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29962

15

Microsoft Windows Media Foundation 安全漏洞

CNNVD-202505-1850

CVE-2025-29963

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29963

16

Microsoft Windows Media Foundation 安全漏洞

CNNVD-202505-1796

CVE-2025-29964

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29964

17

Microsoft Windows Remote Desktop Services 安全漏洞

CNNVD-202505-1813

CVE-2025-29966

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29966

18

Microsoft Windows Remote Desktop Gateway 安全漏洞

CNNVD-202505-1816

CVE-2025-29967

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29967

19

Microsoft Windows 安全漏洞

CNNVD-202505-1824

CVE-2025-29969

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29969

20

Microsoft Brokering File System 资源管理错误漏洞

CNNVD-202505-1826

CVE-2025-29970

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29970

21

Microsoft Windows Defender 缓冲区错误漏洞

CNNVD-202505-1829

CVE-2025-29971

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29971

22

Microsoft Azure 访问控制错误漏洞

CNNVD-202505-1834

CVE-2025-29973

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29973

23

Microsoft PC Manager 后置链接漏洞

CNNVD-202505-1837

CVE-2025-29975

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29975

24

Microsoft SharePoint 安全漏洞

CNNVD-202505-1840

CVE-2025-29976

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29976

25

Microsoft Excel 资源管理错误漏洞

CNNVD-202505-1844

CVE-2025-29977

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29977

26

Microsoft Office PowerPoint 资源管理错误漏洞

CNNVD-202505-1846

CVE-2025-29978

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29978

27

Microsoft Excel 安全漏洞

CNNVD-202505-1849

CVE-2025-29979

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29979

28

Microsoft Excel 安全漏洞

CNNVD-202505-1848

CVE-2025-30375

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30375

29

Microsoft Excel 安全漏洞

CNNVD-202505-1851

CVE-2025-30376

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30376

30

Microsoft Office 资源管理错误漏洞

CNNVD-202505-1852

CVE-2025-30377

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30377

31

Microsoft SharePoint 代码问题漏洞

CNNVD-202505-1854

CVE-2025-30378

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30378

32

Microsoft Excel 安全漏洞

CNNVD-202505-1855

CVE-2025-30379

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30379

33

Microsoft Excel 安全漏洞

CNNVD-202505-1858

CVE-2025-30381

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30381

34

Microsoft Office Sharepoint Server 代码问题漏洞

CNNVD-202505-1861

CVE-2025-30382

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30382

35

Microsoft Excel 安全漏洞

CNNVD-202505-1862

CVE-2025-30383

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30383

36

Microsoft Office Sharepoint Server 代码问题漏洞

CNNVD-202505-1864

CVE-2025-30384

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30384

37

Microsoft Windows Common Log File System Driver 资源管理错误漏洞

CNNVD-202505-1866

CVE-2025-30385

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30385

38

Microsoft Office 资源管理错误漏洞

CNNVD-202505-1865

CVE-2025-30386

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30386

39

Microsoft Win32k 安全漏洞

CNNVD-202505-1868

CVE-2025-30388

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30388

40

Microsoft Excel 资源管理错误漏洞

CNNVD-202505-1869

CVE-2025-30393

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30393

41

Microsoft Scripting Engine 安全漏洞

CNNVD-202505-1871

CVE-2025-30397

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397

42

Microsoft DWM Core Library 资源管理错误漏洞

CNNVD-202505-1872

CVE-2025-30400

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400

43

Microsoft Windows Common Log File System Driver 资源管理错误漏洞

CNNVD-202505-1873

CVE-2025-32701

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701

44

Microsoft Visual Studio 命令注入漏洞

CNNVD-202505-1874

CVE-2025-32702

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32702

45

Microsoft Excel 安全漏洞

CNNVD-202505-1876

CVE-2025-32704

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32704

46

Microsoft Outlook 缓冲区错误漏洞

CNNVD-202505-1878

CVE-2025-32705

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32705

47

Microsoft Windows Common Log File System Driver 输入验证错误漏洞

CNNVD-202505-1877

CVE-2025-32706

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706

48

Microsoft Windows NTFS 缓冲区错误漏洞

CNNVD-202505-1884

CVE-2025-32707

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32707

49

Microsoft Windows Ancillary Function Driver for WinSock 资源管理错误漏洞

CNNVD-202505-1880

CVE-2025-32709

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709

50

Microsoft Defender 安全漏洞

CNNVD-202505-1777

CVE-2025-26684

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26684

51

Microsoft Defender 授权问题漏洞

CNNVD-202505-1814

CVE-2025-26685

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26685

52

Microsoft Windows Hardware Lab Kit 信任管理问题漏洞

CNNVD-202505-1817

CVE-2025-27488

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27488

53

Microsoft Windows 安全漏洞

CNNVD-202505-1818

CVE-2025-29829

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29829

54

Microsoft Windows Routing and Remote Access Service 安全漏洞

CNNVD-202505-1821

CVE-2025-29830

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29830

55

Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞

CNNVD-202505-1822

CVE-2025-29832

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29832

56

Microsoft Windows Routing and Remote Access Service 安全漏洞

CNNVD-202505-1831

CVE-2025-29835

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29835

57

Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞

CNNVD-202505-1827

CVE-2025-29836

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29836

58

Microsoft Windows Installer 后置链接漏洞

CNNVD-202505-1828

CVE-2025-29837

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29837

59

Microsoft Windows File Server 缓冲区错误漏洞

CNNVD-202505-1832

CVE-2025-29839

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29839

60

Microsoft Lightweight Directory Access Protocol(LDAP) 资源管理错误漏洞

CNNVD-202505-1838

CVE-2025-29954

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29954

61

Microsoft Hyper-V 输入验证错误漏洞

CNNVD-202505-1842

CVE-2025-29955

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29955

62

Microsoft Windows SMB Client 安全漏洞

CNNVD-202505-1841

CVE-2025-29956

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29956

63

Microsoft Windows Deployment Services 资源管理错误漏洞

CNNVD-202505-1839

CVE-2025-29957

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29957

64

Microsoft Windows Routing and Remote Access Service 安全漏洞

CNNVD-202505-1843

CVE-2025-29958

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29958

65

Microsoft Windows Routing and Remote Access Service 安全漏洞

CNNVD-202505-1784

CVE-2025-29959

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29959

66

Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞

CNNVD-202505-1790

CVE-2025-29960

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29960

67

Microsoft Windows Routing and Remote Access Service 缓冲区错误漏洞

CNNVD-202505-1845

CVE-2025-29961

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29961

68

Microsoft Active Directory Certificate Services 输入验证错误漏洞

CNNVD-202505-1820

CVE-2025-29968

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29968

69

Microsoft Windows Kernel 数字错误漏洞

CNNVD-202505-1853

CVE-2025-29974

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29974

70

Microsoft Windows Remote Desktop Gateway 安全漏洞

CNNVD-202505-1870

CVE-2025-30394

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30394

71

Microsoft Visual Studio 安全漏洞

CNNVD-202505-1875

CVE-2025-32703

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32703


此次更新共包括5个更新漏洞的补丁程序,其中高危漏洞4个,中危漏洞1个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

Microsoft Windows Remote Desktop Services 竞争条件问题漏洞

CNNVD-202412-1354

CVE-2024-49128

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49128

2

Microsoft Office 资源管理错误漏洞

CNNVD-202503-1291

CVE-2025-26629

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26629

3

Microsoft Lightweight Directory Access Protocol(LDAP) 资源管理错误漏洞

CNNVD-202504-1429

CVE-2025-26673

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26673

4

Microsoft Office 资源管理错误漏洞

CNNVD-202504-1355

CVE-2025-29823

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29823

5

Microsoft Windows DVD Maker 跨站请求伪造漏洞

CNNVD-201703-793

CVE-2017-0045

中危

https://technet.microsoft.com/zh-cn/library/security/ms17-020

(三)修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

https://msrc.microsoft.com/update-guide/en-us

4.2. 关于Fortinet多款产品安全漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet多款产品安全漏洞(CNNVD-202505-1780、CVE-2025-32756)情况的报送。未经身份验证的远程攻击者可以通过发送特制的HTTP请求触发漏洞,进而执行任意代码。Fortinet多款产品均受此漏洞影响。目前,Fortinet官方已发布新版本修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。

(一)漏洞介绍

Fortinet FortiRecorder、Fortinet FortiMail等都是美国飞塔(Fortinet)公司的产品。Fortinet FortiVoice是一个统一通信和协作服务系统,Fortinet FortiRecorder是一套基于Web的网络视频录像机管理系统。Fortinet FortiMail是一套电子邮件安全网关产品。FortiNDR 是一套网络检测与响应系统,FortiCamera是一套视频监控系统。

Fortinet多款产品存在安全漏洞,漏洞源于产品在处理特定 HTTP 请求时,未对请求中的hashcookie进行充分边界检查,导致远程未授权攻击者可发送特制的HTTP请求触发栈缓冲区溢出,进而执行任意代码。

(二)危害影响

Fortinet FortiVoice 7.2.0版本、7.0.0至7.0.6版本、6.4.0至6.4.10版本、FortiRecorder 7.2.0至7.2.3版本、7.0.0至7.0.5版本、6.4.0至6.4.5版本、FortiMail 7.6.0至7.6.2版本、7.4.0至7.4.4版本、7.2.0至7.2.7版本、7.0.0至7.0.8版本、FortiNDR 7.6.0版本、7.4.0至7.4.7版本、7.2.0至7.2.4版本、7.0.0至7.0.6版本、FortiCamera 2.1.0至2.1.3版本、2.0所有版本、1.1所有版本均受漏洞影响。

(三)修复建议

目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接如下:

https://fortiguard.fortinet.com/psirt/FG-IR-25-254