二月漏洞信息简报

2、二月新公开漏洞236个，其中高危漏洞105个，占比44.5%；

3、二月新收录补丁信息252个，Adobe相关产品漏洞补丁47个，谷歌相关产品漏洞补丁28个， Open5GS相关漏洞补丁24个，IBM相关产品漏洞补丁23个，微软相关产品漏洞补丁19个，Linux 相关漏洞补丁14个，Cisco相关漏洞补丁13个，Apache相关漏洞10个，Fortinet相关产品漏洞10个，日立能源相关产品漏洞9个。


美国CISA

1、二月新添加27个漏洞到KEV目录，均要求限期3周（21天）内修复。


部分高危漏洞

mySCADA myPRO操作系统命令注入漏洞
漏洞编号CNVD-2025-03918（CVE-2025-25067），漏洞评分10，mySCADA myPRO是mySCADA公司的一个专业的HMI/SCADA系统，主要设计用于工业过程的可视化和控制。该漏洞源于未正确验证输入。攻击者可远程利用该漏洞执行任意操作系统命令，攻击复杂度低。目前厂商已发布了漏洞修复程序，请及时关注更新。

日立能源RTU500系列产品存在安全检查实施不当漏洞
漏洞编号CNVD-2025-02734（CVE-2024-2617），漏洞评分10，RTU500是日本日立制作所（Hitachi）公司的一系列工控组件，主要用于工业控制系统。该漏洞可远程利用且攻击复杂度低，攻击者可绕过安全更新，使用未签名固件更新设备，受影响固件版本包括13.5.1至13.5.3、13.4.1至13.4.4和13.2.1至13.2.7。厂商已发布补丁修复漏洞，请及时下载更新

Google Chrome 相关漏洞
共四个漏洞，编号分别是CNVD-2025-03646（CVE-2025-0997）、CNVD-2025-03650（CVE-2025-0995）、CNVD-2025-03651（CVE-2025-0998）、CNVD-2025-03016（CVE-2025-0762），漏洞评分都为10，攻击者可利用漏洞在系统上执行任意代码。目前厂商已发布了漏洞修复程序，请及时关注更新。

Google Android 相关漏洞
共4个漏洞，编号分别是CNVD-2025-03643（CVE-2024-43096）、CNVD-2025-03018（CVE-2018-9430）、CNVD-2025-02971（CVE-2024-47038）、CNVD-2025-02972（CVE-2024-47023），漏洞评分10，攻击者可利用漏洞在系统上执行任意代码。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞，建议更新你的 Android 系统到最新的官方版本。

Tenda i12两个缓冲区溢出漏洞
漏洞编号分别是CNVD-2025-03658（CVE-2025-25676）和CNVD-2025-03659（CVE-2025-25678），漏洞评分10，Tenda i12是一款企业商用大功率AP无线接入点。CNVD-2025-03658源于Tenda i12 formwrlSSIDset处理list参数存在缓冲区溢出漏洞，远程攻击者可利用该漏洞提交特殊的请求，可使应用程序崩溃，造成拒绝服务攻击。CNVD-2025-03659源于Tenda i12 formSetCfm处理funcpara1参数存在缓冲区溢出漏洞，远程攻击者可利用该漏洞提交特殊的请求，可使应用程序崩溃，造成拒绝服务攻击。目前厂商尚未发布漏洞修复程序，请及时关注更新。

Atlassian Confluence模板注入代码执行漏洞
漏洞编号CVE-2023-22527，CVSS评分10，攻击者可在无需登录的情况下构造恶意请求导致远程代码执行，最近研究人员披露了一起利用该漏洞的复杂勒索软件攻击，攻击者在入侵企业网络两小时内就部署了 LockBit Black 勒索软件。强烈建议用户尽快修复此漏洞。

微软Azure AI Face 服务漏洞
漏洞编号CVE-2025-21415，CVSS评分9.9，该漏洞属身份验证绕过缺陷，低权限攻击者可远程利用，威胁数据保密与系统完整，虽未被实际利用，但有概念验证攻击手段，微软已匿名接收报告并完成修复。

Ivanti Connect Secure（ICS）缓冲区溢出漏洞
漏洞编号CVE-2025-22467，CVSS评分9.9，该漏洞源于对用户输入的不当处理，虽然需要身份验证，但可远程利用且利用复杂度低，利用此漏洞可导致具有低权限的远程认证攻击者执行代码。影响ICS 22.7R2.6之前的所有版本。目前Ivanti已在ICS 22.7R2.6版本中修复了该漏洞，建议立即更新ICS系统。

Outlook远程代码执行漏洞
漏洞编号CVE-2024-21413，CVSS评分9.8，该漏洞是由于处理超链接的解析逻辑存在漏洞，成功利用此漏洞将允许攻击者绕过 Office 受保护视图，，而不是在保护模式下。攻击者可以制作绕过受保护的视图协议的恶意链接发送给被攻击用户，当用户点击链接时可导致本地 NTLM 凭据信息泄露和远程代码执行 (RCE) 。

Juniper Networks 多产品身份验证绕过漏洞
漏洞编号CVE-2025-21589，CVSS评分9.8，该漏洞影响 Session Smart 路由器、Session Smart Conductor、WAN 保证托管路由器的多个版本，利用此漏洞会使基于网络的攻击者绕过身份验证，并获取设备的管理控制权，从而完全控制网络基础设施。目前Juniper已发布了更新版本来修复此漏洞，建议优先更新。