教育机构ANA通报平台
| 发布编号 | TACERT-ANA-2025051203051111 | 发布时间 | 2025-05-12 15:05:11 |
| 事故类型 | ANA-漏洞预警 | 发现时间 | 2025-05-12 15:05:11 |
| 影响等级 | 低 | ||
| [主旨说明:]【漏洞预警】CISA新增4个已知遭骇客利用之漏洞至KEV目录(2025/05/05-2025/05/11) | |||
| [内容说明:]
转发 台湾电脑网路危机处理暨协调中心 TWCERTCC-200-202505-00000008 1. 【CVE-2025-3248】Langflow Missing Authentication Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索软体利用:未知】 Langflow在/api/v1/validate/code端点中存在验证缺失漏洞,允许远端未经验证的攻击者透过特制的 HTTP请求执行任意程式码。 【影响平台】 langflow 1.2.0(含)之前的版本 2. 【CVE-2025-27363】FreeType Out-of-Bounds Write Vulnerability (CVSS v3.1: 8.1) 【是否遭勒索软体利用:未知】 FreeType在尝试解析与TrueType GX和可变字型档案相关的子字型结构时,存在越界写入漏洞,可能导致任意程式码执行。 【影响平台】 FreeType 2.13.0(含)之前的版本 3. 【CVE-2024-11120】GeoVision Devices OS Command Injection Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索软体利用:未知】 多款 GeoVision 装置存在作业系统指令注入漏洞,远端未经验证的攻击者可借此注入并执行任意系统指令。 【影响平台】 GV-VS12 GV-VS11 GV-DSP_LPR_V3 GVLX 4 V2 GVLX 4 V3 4. 【CVE-2024-6047】GeoVision Devices OS Command Injection Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索软体利用:未知】 多款 GeoVision 装置存在作业系统指令注入漏洞,远端未经验证的攻击者可借此注入并执行任意系统指令。 【影响平台】 GV_DSP_LPR_V2 GV_IPCAMD_GV_BX130 GV_IPCAMD_GV_BX1500 GV_IPCAMD_GV_CB220 GV_IPCAMD_GV_EBL1100 GV_IPCAMD_GV_EFD1100 GV_IPCAMD_GV_FD2410 GV_IPCAMD_GV_FD3400 GV_IPCAMD_GV_FE3401 GV_IPCAMD_GV_FE420 GV_GM8186_VS14 GV-VS14_VS14 GV_VS03 GV_VS2410 GV_VS28XX GV_VS216XX GV VS04A GV VS04H GVLX 4 V2 GVLX 4 V3 情资分享等级: WHITE(情资内容为可公开揭露之资讯) 烦请贵单位协助公告或转发 |
|||
| [影响平台:]
详细内容于内容说明栏之影响平台 |
|||
| [建议措施:]
1. 【CVE-2025-3248】 对应产品升级至以下版本(或更高) langflow 1.3.0 2. 【CVE-2025-27363】 对应产品升级至以下版本(或更高) FreeType 2.13.1 3. 【CVE-2024-11120】 受影响的产品可能已达到生命周期终止(EoL)或服务终止(EoS)。建议使用者停止使用相关产品。 4. 【CVE-2024-6047】 受影响的产品可能已达到生命周期终止(EoL)或服务终止(EoS)。建议使用者停止使用相关产品。 |
|||
| [参考资料:] |
