赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

Microsoft ASP.NET Core信息泄露漏洞(CVE-2025-55315)

北京赛克艾威科技有限公司

2025-10-14

ASP.NET Core 中对 HTTP 请求(“HTTP 请求/响应走私”)的不一致解释,允许经过授权的攻击者通过网络绕过安全功能。

7-Zip 远程代码执行漏洞(CVE-2025-11001)

北京赛克艾威科技有限公司

2025-10-07

7\-Zip是一款开源、跨平台的压缩与归档管理工具,支持ZIP、RAR、7z、TAR等数十种格式,提供图形与命令行双接口,被个人用户、企业脚本、备份系统、安全沙箱及邮件网关广泛集成,用于打包、加密、分卷及自动化解压。 该漏洞存在于≤24.09版本中,成因是ZIP解压模块对符号链接及文件名的路径净化不完整,允许存档内构造“../../../”或绝对路径形式的条目,写入任意外部目录。

Adobe Experience Manager安全特性绕过漏洞(CVE-2025-54253)

北京赛克艾威科技有限公司

2025-08-05

Adobe Experience Manager 6.5.23 及更早版本受配置错误漏洞影响,可能导致任意代码执行。攻击者可以利用此漏洞绕过安全机制并执行代码。利用此问题不需要用户交互,范围已更改。

用友U8Cloud pubsmsservlet 远程代码执行漏洞(QVD-2025-39606)

北京赛克艾威科技有限公司

2025-10-13

该漏洞存在于U8Cloud所有版本提供的pubsmsservlet接口,服务端对接收的数据进行反序列化操作时未对数据进行有效的校验,导致攻击者可发送精心构造的恶意序列化对象,在服务端执行任意静态代码或实例化任意Gadget,最终触发远程代码执行。

Redis代码执行漏洞(CVE-2025-46817)

北京赛克艾威科技有限公司

2025-10-03

Redis是一个开源的内存数据库,支持数据持久化存储于磁盘上。该漏洞存在于Redis 8.2.1及以下版本中,经过身份验证的用户可以利用精心构造的Lua脚本来触发整数溢出,可能由此导致远程代码执行。该问题存在于所有包含Lua脚本的Redis版本中。