导航
首页
部门概况
部门简介
部门职责
部门设置
联系我们
大事记
成果展示
党建工作
工作动态
通知公告
规章制度
政策法规
学校规章制度
标准规范
网络安全
网安新闻资讯
风险预警信息
软件正版化
服务指南
教室多媒体服务
校园网络接入服务
智慧校园
AI应用指南
网络安全
网安新闻资讯
风险预警信息
首页
网络安全
风险预警信息
风险预警信息
17
2025-10
7-Zip两大高危漏洞可导致任意代码执行(CVE-2025-11001/11002)
7-Zip存在目录遍历漏洞,攻击者可以构造特殊的ZIP文件,其中包含指向系统关键目录的符号链接,当具有管理员权限的用户使用7-Zip解压这些恶意文件时,攻击者可以绕过正常的文件路径限制,将恶意文件写入到系统目录中,从而实现任意代码执行。目前受影响的7-Zip压缩软件版本:7-Zip < 25.00官方已发布最新版本修复该漏洞,建议受影响用户将7-Zip更新到最新版本。下载链接:https://www.7-zip.org/download.html
13
2025-10
关于Redis Lua脚本远程代码执行漏洞(CVE-2025-49844)的预警提示
一、漏洞详情Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。近日,监测到官方修复Redis Lua脚本远程代码执行漏洞(CVE-2025-49844),该漏洞该漏洞存在于Redis的Lua脚本执行模块中,拥有低权限及以上用户权限的攻击者可通过构造特殊的Lua脚本,操控垃圾回收机制,触发释放后重用(Use-After-Free)漏洞,从而可能导致远程代码执行。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Redis < 6.2.207.2.0 <= Redis < 7.2.117.4.0 <= Redis < 7.4.68.0.0 <
09
2025-09
关于Django SQL注入漏洞(CVE-2025-57833)的预警提示
一、漏洞详情Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。近日,监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate()或QuerySet.alias()的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。建议受影响用户做好资产自查以及预防工作,以免遭受黑客
05
2025-09
百度网盘Windows客户端远程命令执行漏洞
一、漏洞概要组件名称:百度网盘影响范围:百度网盘Windows 客户端< 7.60.5.102漏洞类型:命令执行利用条件:1、用户认证:不需要用户认证2、前置条件:默认配置3、触发方式:受害者点击恶意HTML 界面二、漏洞分析2.1 组件介绍百度网盘是一个提供文件存储、同步和分享服务的云端平台。用户可以通过百度网盘存储个人文件,并可以通过链接或邀请他人共享文件。百度网盘还提供了文件同步功能,可以让用户在不同设备之间同步其文件。用户可以免费获得一定的存储空间,也可以通过付费获得更大的存储空间和更多功能。2.2 漏洞描述百度网盘Windows 客户端存在远程命令执行漏洞,网盘默认开启本地10000
04
2025-07
关于Linux sudo本地提权漏洞(CVE-2025-32462、CVE-2025-32463)的预警提示
一、漏洞详情Linux是一种免费开源的类Unix操作系统,sudo是安装在Linux系统上的特权命令行工具。近日,监测到 Linux sudo修复两个相互关联的本地提权漏洞(CVE-2025-32462、CVE-2025-32463),Linux sudo host权限提升漏洞(CVE-2025-32462)源于sudo的-h(--host)选项错误应用远程主机规则到本地,攻击者可绕过权限提升至root并执行任意代码。Linux sudo chroot权限提升漏洞(CVE-2025-32463)源于本地低权限用户通过特制的恶意chroot环境触发动态库加载,从而以root权限执行任意代码。建议
02
2025-07
WinRAR目录穿越漏洞(CVE-2025-6218)
漏洞描述2025年06月26日监测发现,WinRAR 路径处理漏洞导致远程代码执行漏洞(CVE-2025-6218),该漏洞允许远程攻击者在受影响的 WinRAR 版本上执行任意代码,且需用户交互,攻击者需诱使目标用户打开恶意档案文件或访问被恶意篡改的网页。漏洞的根本原因在于 WinRAR 对文件路径的处理不当,恶意构造的文件路径可能导致进程访问不该访问的目录,从而在当前用户上下文中执行恶意代码,存在严重安全隐患。WinRAR 是一款广泛使用的文件压缩和解压软件,支持多种压缩格式,如 RAR、ZIP 和其他常见格式。它提供强大的压缩和加功能,允许用户创建自解压档案、分卷压缩和文件恢复等。Win
01
2025-07
关于Google Chrome V8引擎越界读写漏洞(CVE-2025-54190)的预警提示
一、漏洞详情Google Chrome 是由谷歌开发的跨平台网页浏览器。近日,监测到Chrome发布的安全公告,指出Google Chrome 137.0.7151.68版本之前存在V8引擎的越界读写漏洞(CVE-2025-5419)。该漏洞源于V8引擎中的越界读写,攻击者可通过恶意网页触发漏洞,绕过沙箱防护,导致堆内存损坏,进而可能引发浏览器崩溃、敏感信息泄露,甚至实现远程代码执行(RCE),完全控制用户设备。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Google Chrome(Windows/Mac) < 137.0.7151.68/.69Goo
04
2025-06
Chrome 浏览器V8引擎越界读写漏洞CVE-2025-5419
Chrome JavaScript V8引擎中存在一个高危越界读写漏洞,该漏洞允许攻击者以非预期的方式操纵内存,从而可能导致任意代码执行或浏览器沙箱逃逸。该漏洞已存在在野利用。目前受影响的谷歌-Chrome版本:Chrome < 137.0.7151.68官方已发布最新版本修复该漏洞,建议受影响用户将Chrome浏览器更新到以下版本:Windows 和 Mac 版本升级至 137.0.7151.68/.69Linux 版本升级至 137.0.7151.68下载链接:https://www.google.cn/intl/zh-CN/chrome/
29
2025-05
关于ComfyUI存在多个网络安全漏洞的风险提示
ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习模型的工作流程简化为图形化节点,使用户操作更加直观和易于理解。近期,国家网络安全职能部门监测发现,ComfyUI存在任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577),攻击者可利用上述漏洞实施远程代码执行攻击,获取服务器权限,进而窃取系统数据。目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据。建议相关用户在确保安全的前提下,及时下载升级官方补
26
2025-05
近期要防范校内钓鱼邮件攻击
16
2025-05
关于Google Chrome跨源数据泄露漏洞(CVE-2025-4664)的预警提示
一、漏洞详情Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。近日,监测到Google发布公告称Google Chrome存在跨源数据泄露漏洞(CVE-2025-4664),该漏洞源于Google Chrome加载程序中的策略执行不足,远程攻击者利用此漏洞可使浏览器发起请求时携带完整的URL,导致敏感信息泄露。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Google Chrome(Windows/Mac) < 136.0.7103.113/.114Google Chrome(Linux) < 136.0.7103.113三、修复建议目前官方已发
14
2025-05
【安全通告】Microsoft 发布 2025 年 5 月安全更新(含多个高危漏洞补丁)
预警背景描述监测到微软官方发布了2025年5月安全更新。此次更新共修复78个漏洞,其中11个严重漏洞(Critical),12个重要漏洞(Important)。预警描述本次微软安全更新涉及组件包括:Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft Power Apps,Microsoft Edge,Build Tools for Visual Studio 2022,Microsoft Defender for Identity,Remote Desktop client for Windows Desktop,M
29
2025-04
关于PyTorch存在远程代码执行漏洞(CVE-2025-32434)的预警提示
一、漏洞详情PyTorch是一个基于软件的开源深度学习框架。近日,监测发现PyTorch存在远程代码执行漏洞(CVE-2025-32434)。当使用torch.load加载模型且weights_only=True时,攻击者可以利用此漏洞在目标机器上执行任意命令,可能导致数据泄露、系统入侵,甚至在云托管的AI环境中进行横向移动。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围PyTorch <= 2.5.1三、修复建议官方已发布修复方案,受影响的用户建议更新至安全版本2.6.0。
28
2025-04
关于Redis输出缓冲区内存耗尽漏洞(CVE-2025-21605)的预警提示
一、漏洞详情Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。近日,监测到Redis官方发布的安全公告,在7.4.3 > Redis >= 2.6版本中,未认证的客户端可以导致输出缓冲区无限增长,直到服务器内存耗尽或进程被终止。默认配置下,Redis不限制普通客户端的输出缓冲区,允许其无限增长,导致服务崩溃或内存不可用。即使启用了密码认证,但未提供密码,客户端仍可通过"NOAUTH"响应导致缓冲区增长,最终耗尽系统内存。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围7.4.3 > Redis >= 2.6三、修复建议官方已发布安全更新
每页
14
记录
总共
18
记录
第一页
<<上一页
下一页>>
尾页
页码
1
/
2
跳转到
