【漏洞预警】CISA新增3个已知遭骇客利用之漏洞至KEV目录(2025/07/14-2025/07/20) - 弘光科技大学
跳到主要内容区块

SEARCH

弘光科技大学
:::
图资处系统组

【漏洞预警】CISA新增3个已知遭骇客利用之漏洞至KEV目录(2025/07/14-2025/07/20)

公告日期:2025年07月22日张贴人:资通安全暨个资保护宣导网

教育机构ANA通报平台

发布编号 TACERT-ANA-2025072201075454 发布时间 2025-07-22 13:17:54
事故类型 ANA-漏洞预警 发现时间 2025-07-22 13:17:54
影响等级
[主旨说明:]【漏洞预警】CISA新增3个已知遭骇客利用之漏洞至KEV目录(2025/07/14-2025/07/20)
[内容说明:]

1.【CVE-2025-47812】Wing FTP Server Improper Neutralization of Null Byte or NUL Character Vulnerability (CVSS v3.1: 10.0)
【是否遭勒索软体利用:未知】 Wing FTP Server存在对空位元组或NUL字元处理不当漏洞,可能允许将任意Lua程式码注入使用者工作阶段档案。攻击者可借此执行任意系统指令,并以FTP服务的权限执行(预设为root或SYSTEM权限)。
【影响平台】 Wing FTP Server 7.4.4(不含)之前的版本

2.【CVE-2025-25257】Fortinet FortiWeb SQL Injection Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索软体利用:未知】 Fortinet FortiWeb存在SQL注入漏洞,可能允许未经验证的攻击者透过特制的HTTP或HTTPS请求执行未经授权的SQL程式码或指令。
【影响平台】请参考官方所列的影响版本
https://fortiguard.fortinet.com/psirt/FG-IR-25-151

3.【CVE-2025-53770】Microsoft SharePoint Deserialization of Untrusted Data Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索软体利用:未知】 本地端部署的Microsoft SharePoint Server存在未信任资料反序列化漏洞,可能允许未经授权的攻击者透过网路执行程式码。
【影响平台】请参考官方所列的影响版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

烦请贵单位协助转发与通知辖下各单位知悉
[影响平台:]

详细内容于内容说明栏之影响平台
[建议措施:]

1.【CVE-2025-47812】 对应产品升级至以下版本(或更高) Wing FTP Server 7.4.4

2.【CVE-2025-25257】 官方已针对漏洞释出修复更新,请更新至相关版本
https://fortiguard.fortinet.com/psirt/FG-IR-25-151

3.【CVE-2025-53770】 官方已针对漏洞释出修复更新,请更新至相关版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
[参考资料:]

    附加档案