(20250421-20250427)

一、境外廠商產(chǎn)品漏洞

1、TOTOLINK A6000R action_passwd命令注入漏洞

TOTOLINK A6000R是一款性能卓越的無線路由器，采用先進(jìn)的技術(shù)和設(shè)計,為用戶提供出色的網(wǎng)絡(luò)體驗。TOTOLINK A6000R action_passwd函數(shù)處理newpasswd參數(shù)存在安全漏洞，遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請求，可以應(yīng)用程序上下文執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-07818

2、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08367）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠(yuǎn)程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于GetLogs方法存在SQL注入，攻擊者可利用該漏洞導(dǎo)致繞過授權(quán)控制  和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08367

3、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08368）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠(yuǎn)程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于CreateBackup方法存在SQL注入，攻擊者可利用該漏洞導(dǎo)致繞過授權(quán)控制和執(zhí)行任意代碼。 

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08368

4、Siemens TeleControl Server Basic SQL注入漏洞

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠(yuǎn)程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于內(nèi)部方法UpdateBufferingSettings存在SQL注入，攻擊者可利用該漏洞導(dǎo)致繞過授權(quán)控制和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08349

5、Siemens TeleControl Server Basic SQL注入漏洞（CNVD-2025-08364）

Siemens TeleControl Server Basic是德國西門子（Siemens）公司的一個工業(yè)遠(yuǎn)程控制器。Siemens TeleControl Server Basic存在SQL注入漏洞，該漏洞源于ImportCertificate方法存在SQL注入，攻擊者可利用該漏洞導(dǎo)致繞過授權(quán)控制和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08364

二、境內(nèi)廠商產(chǎn)品漏洞

1、科大訊飛（北京）有限公司科大訊飛智慧云平臺存在SQL注入漏洞

科大訊飛（北京）有限公司是一家主要從事技術(shù)開發(fā)、技術(shù)推廣、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢、技術(shù)服務(wù)等業(yè)務(wù)?的公司?？拼笥嶏w（北京）有限公司科大訊飛智慧云平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-07994

2、北京北大方正電子有限公司方正暢享全媒體新聞采編系統(tǒng)存在SQL注入漏洞

北京北大方正電子有限公司是一家在印刷、傳媒、出版、字庫等領(lǐng)域具有領(lǐng)先地位的技術(shù)和服務(wù)提供商。北京北大方正電子有限公司方正暢享全媒體新聞采編系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08014

3、北京亞控科技發(fā)展有限公司KingH5Stream存在未授權(quán)訪問漏洞

北京亞控科技發(fā)展有限公司是一家工業(yè)自動化和信息化軟件平臺高科技企業(yè)，專注于國產(chǎn)工業(yè)軟件自主研發(fā)、營銷和服務(wù)。北京亞控科技發(fā)展有限公司KingH5Stream存在未授權(quán)訪問漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-03868

4、青島東勝偉業(yè)軟件有限公司東勝訂艙平臺存在邏輯缺陷漏洞

青島東勝偉業(yè)軟件有限公司是一家主要業(yè)務(wù)包括計算機(jī)軟件開發(fā)、網(wǎng)絡(luò)工程設(shè)計、網(wǎng)頁設(shè)計、綜合布線、軟件技術(shù)服務(wù)、電子設(shè)備的安裝與維護(hù)及技術(shù)服務(wù)、物流信息服務(wù)等的公司。青島東勝偉業(yè)軟件有限公司東勝訂艙平臺存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08032

5、北京網(wǎng)動網(wǎng)絡(luò)科技股份有限公司網(wǎng)動統(tǒng)一通信平臺存在SQL注入漏洞

北京網(wǎng)動網(wǎng)絡(luò)科技股份有限公司是全球領(lǐng)先的云視訊解決方案及服務(wù)提供商?。北京網(wǎng)動網(wǎng)絡(luò)科技股份有限公司網(wǎng)動統(tǒng)一通信平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-08026 

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺