安全漏洞周报 -- 2025年W21期

安全漏洞周报 -- 2025年W21期

日期范围：2025-5-19 至 2025-5-12
编制部门：AI安全助手

一、本周漏洞概况

1. 新增漏洞总数：760 个
2. 风险等级分布：
   • 超危漏洞：24 个
   • 高危漏洞：145 个
   • 中危漏洞：117 个
   • 低危漏洞：4 个
   • 信息漏洞：470 个
3. 主要影响范围：
   • 操作系统：1 个（如 Windows/Linux）
   • 常用中间件：5 个（如 Apache/Nginx/Tomcat）
   • 应用框架：226 个（如 WordPress）

二、重点漏洞清单

三、高风险漏洞详情

漏洞名称：Kashipara Billing Software SQL注入漏洞

• CNNVD编号：CNNVD-202505-1681
• CVE编号：CVE-2023-49641
• 风险等级：超危
• 受影响厂商：Kashipara
• 收录时间：2025-05-12T00:00:00
• 漏洞描述：Kashipara Billing Software是印度Kashipara公司的一款应用程序。
  Kashipara Billing Software v1.0版本存在SQL注入漏洞，该漏洞源于loginCheck.php资源中username参数未验证输入，可能导致SQL注入攻击。
• 官方补丁：
  None

漏洞名称：Microsoft Azure 路径遍历漏洞

• CNNVD编号：CNNVD-202505-1867
• CVE编号：CVE-2025-30387
• 风险等级：超危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Azure是美国微软（Microsoft）公司的一套开放的企业级云计算平台。
  Microsoft Azure存在路径遍历漏洞。攻击者利用该漏洞可以提升权限。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30387

漏洞名称：Apache IoTDB 代码注入漏洞

• CNNVD编号：CNNVD-202505-2026
• CVE编号：CVE-2024-24780
• 风险等级：超危
• 受影响厂商：阿帕奇
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。
  Apache IoTDB 1.0.0至1.3.4之前版本存在安全漏洞，该漏洞源于UDF不受信任URI导致远程代码执行。
• 官方补丁：
  https://iotdb.apache.org/Download/

漏洞名称：5ire 输入验证错误漏洞

• CNNVD编号：CNNVD-202505-2053
• CVE编号：CVE-2025-47777
• 风险等级：超危
• 受影响厂商：个人开发者
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：5ire是Ironben个人开发者的一个跨平台的桌面AI助手。
  5ire 0.11.1之前版本存在输入验证错误漏洞，该漏洞源于清理不足导致存储型跨站脚本，可能通过不安全的Electron协议处理导致远程代码执行。
• 官方补丁：
  https://github.com/nanbingxyz/5ire/releases

漏洞名称：Rallly 安全特征问题漏洞

• CNNVD编号：CNNVD-202505-2056
• CVE编号：CVE-2025-47781
• 风险等级：超危
• 受影响厂商：个人开发者
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Rallly是Luke Vella个人开发者的一款日程安排和协作工具，旨在更轻松地组织活动和会议。
  Rallly 3.22.1及之前版本存在安全特征问题漏洞，该漏洞源于6位数字令牌熵值过低且无暴力破解防护，可能导致账户接管。
• 官方补丁：
  None

漏洞名称：mediDOK 代码注入漏洞

• CNNVD编号：CNNVD-202505-2104
• CVE编号：CVE-2025-32363
• 风险等级：超危
• 受影响厂商：mediDOK
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：mediDOK是德国mediDOK公司的一个用于医疗实践的图像和文档存档工具。
  mediDOK 2.5.18.43之前版本存在安全漏洞，该漏洞源于反序列化不可信数据，可能导致远程代码执行。
• 官方补丁：
  https://medidok.de/downloads/

漏洞名称：SAMSUNG多款产品 缓冲区错误漏洞

• CNNVD编号：CNNVD-202505-2109
• CVE编号：CVE-2025-27891
• 风险等级：超危
• 受影响厂商：三星
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：SAMSUNG Exynos和SAMSUNG Exynos Modem 5300都是韩国三星（SAMSUNG）公司的产品。SAMSUNG Exynos是一系列 Samsung Mobile 开发及生产的SoC、基于 Arm 架构的处理器。SAMSUNG Exynos Modem 5300是一款调制解调器。
  SAMSUNG多款产品存在安全漏洞，该漏洞源于缺少长度检查可能导致通过畸形NAS包进行越界读取。以下产品受到影响：Exynos 980、990、850、1080、2100、1280、2200、1330、1380、1480、2400、9110、W920、W930、W1000、Modem 5123、Modem 5300和Modem 5400。
• 官方补丁：
  https://semiconductor.samsung.com/us/processor/

漏洞名称：Jenkins plugin OpenID Connect Provider 访问控制错误漏洞

• CNNVD编号：CNNVD-202505-2112
• CVE编号：CVE-2025-47884
• 风险等级：超危
• 受影响厂商：Jenkins
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Jenkins和Jenkins plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。Jenkins plugin是一个应用软件插件。
  Jenkins plugin OpenID Connect Provider 96及之前版本存在安全漏洞，该漏洞源于构建ID令牌使用可能被覆盖的环境变量值，可能导致未经授权访问外部服务。
• 官方补丁：
  https://www.jenkins.io/security/advisory/2025-05-14/#SECURITY-3574

漏洞名称：WordPress plugin baiduseo 代码问题漏洞

• CNNVD编号：CNNVD-202505-2134
• CVE编号：CVE-2025-3917
• 风险等级：超危
• 受影响厂商：WordPress
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin baiduseo 2.0.6及之前版本存在代码问题漏洞，该漏洞源于缺少文件类型验证，可能导致任意文件上传。
• 官方补丁：
  https://wordpress.org/plugins/baiduseo/

漏洞名称：WordPress plugin TicketBAI Facturas para WooCommerce 路径遍历漏洞

• CNNVD编号：CNNVD-202505-2141
• CVE编号：CVE-2025-4564
• 风险等级：超危
• 受影响厂商：WordPress
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin TicketBAI Facturas para WooCommerce 3.18及之前版本存在路径遍历漏洞，该漏洞源于文件路径验证不足，可能导致任意文件删除。
• 官方补丁：
  https://www.wordfence.com/threat-intel/vulnerabilities/id/2927aa13-b012-41eb-93bd-38a4e5fc5455?source=cve

漏洞名称：SAP Supplier Relationship Management 代码问题漏洞

• CNNVD编号：CNNVD-202505-1691
• CVE编号：CVE-2025-30018
• 风险等级：高危
• 受影响厂商：思爱普
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：SAP Supplier Relationship Management（SRM）是德国思爱普（SAP）公司的一套供应商关系管理解决方案。该产品实现了企业内以及供应商之间采购和购置流程的自动化，并提供发票开具等功能。
  SAP Supplier Relationship Management存在代码问题漏洞，该漏洞源于解析特制XML文件不当，可能导致敏感文件访问。
• 官方补丁：
  https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html

漏洞名称：SAP S/4HANA Cloud Private 代码注入漏洞

• CNNVD编号：CNNVD-202505-1703
• CVE编号：CVE-2025-43010
• 风险等级：高危
• 受影响厂商：思爱普
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：SAP S/4HANA Cloud Private是德国思爱普（SAP）公司的一个私有云部署的企业级智能ERP套件，基于内存计算架构。
  SAP S/4HANA Cloud Private存在代码注入漏洞，该漏洞源于缺少输入验证和授权检查，可能导致替换任意ABAP程序。
• 官方补丁：
  https://support.sap.com/en/my-support/knowledge-base/security-notes-news/may-2025.html

漏洞名称：WordPress plugin Relevanssi SQL注入漏洞

• CNNVD编号：CNNVD-202505-1710
• CVE编号：CVE-2025-4396
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin Relevanssi 4.24.4及之前版本存在SQL注入漏洞，该漏洞源于cats和tags参数清理和转义不足，可能导致基于时间的SQL注入攻击。
• 官方补丁：
  https://wordpress.org/plugins/relevanssi

漏洞名称：WordPress plugin TheGem 代码问题漏洞

• CNNVD编号：CNNVD-202505-1719
• CVE编号：CVE-2025-4317
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin TheGem 5.10.3及之前版本存在代码问题漏洞，该漏洞源于thegem_get_logo_url函数缺少文件类型验证，可能导致任意文件上传。
• 官方补丁：
  https://codex-themes.com/thegem/changelog.html

漏洞名称：WordPress plugin Frontend Dashboard 授权问题漏洞

• CNNVD编号：CNNVD-202505-1721
• CVE编号：CVE-2025-4473
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin Frontend Dashboard 1.0至2.2.7版本存在授权问题漏洞，该漏洞源于ajax_request函数缺少能力检查，可能导致权限提升。
• 官方补丁：
  https://wordpress.org/plugins/frontend-dashboard

漏洞名称：WordPress plugin Frontend Dashboard 授权问题漏洞

• CNNVD编号：CNNVD-202505-1722
• CVE编号：CVE-2025-4474
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin Frontend Dashboard 1.0至2.2.7版本存在授权问题漏洞，该漏洞源于fed_admin_setting_form_function函数缺少能力检查，可能导致权限提升。
• 官方补丁：
  https://wordpress.org/plugins/frontend-dashboard

漏洞名称：Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1811
• CVE编号：CVE-2025-26677
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Remote Desktop Gateway（RD Gateway）是美国微软（Microsoft）公司的一个角色服务，它允许授权用户通过互联网安全地访问内部网络资源。
  Microsoft Windows Remote Desktop Gateway存在资源管理错误漏洞。攻击者利用该漏洞导致系统拒绝服务。以下产品和版本受到影响：Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows Server 2025 (Server Core installation),Windows Server 2022, 23H2 Edition (Server Core installation),Windows Server 2025,Windows Server 2016,Windows Server 2016 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26677

漏洞名称：Microsoft Windows Remote Desktop Gateway 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1823
• CVE编号：CVE-2025-29831
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Remote Desktop Gateway（RD Gateway）是美国微软（Microsoft）公司的一个角色服务，它允许授权用户通过互联网安全地访问内部网络资源。
  Microsoft Windows Remote Desktop Gateway存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows Server 2025 (Server Core installation),Windows Server 2022, 23H2 Edition (Server Core installation),Windows Server 2025,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29831

漏洞名称：Microsoft Brokering File System 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1826
• CVE编号：CVE-2025-29970
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Brokering File System是美国微软（Microsoft）公司的一个文件系统。
  Microsoft Brokering File System存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows Server 2025 (Server Core installation),Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29970

漏洞名称：Microsoft Windows Defender 缓冲区错误漏洞

• CNNVD编号：CNNVD-202505-1829
• CVE编号：CVE-2025-29971
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Defender是美国微软（Microsoft）公司的一套Windows系统附带的防病毒软件。
  Microsoft Windows Defender存在缓冲区错误漏洞。攻击者利用该漏洞导致系统拒绝服务。以下产品和版本受到影响：Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29971

漏洞名称：Microsoft Windows 代码问题漏洞

• CNNVD编号：CNNVD-202505-1830
• CVE编号：CVE-2025-29838
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows是美国微软（Microsoft）公司的一套个人设备使用的操作系统。
  Microsoft Windows存在代码问题漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows Server 2025 (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29838

漏洞名称：Microsoft Azure 访问控制错误漏洞

• CNNVD编号：CNNVD-202505-1834
• CVE编号：CVE-2025-29973
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Azure是美国微软（Microsoft）公司的一套开放的企业级云计算平台。
  Microsoft Azure存在访问控制错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Azure File Sync v19.0,Azure File Sync v20.0。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29973

漏洞名称：Microsoft Universal Print 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1836
• CVE编号：CVE-2025-29841
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Universal Print是美国微软（Microsoft）公司的一款基于云的打印解决方案，可实现简单、丰富且安全的打印体验。
  Microsoft Universal Print存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29841

漏洞名称：Microsoft PC Manager 后置链接漏洞

• CNNVD编号：CNNVD-202505-1837
• CVE编号：CVE-2025-29975
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft PC Manager是美国微软（Microsoft）公司的一款电脑管理软件，可以一键加速，系统空间管理，弹窗管理，全面体检等功能。
  Microsoft PC Manager存在后置链接漏洞。攻击者利用该漏洞可以提升权限。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29975

漏洞名称：Microsoft Excel 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1844
• CVE编号：CVE-2025-29977
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。
  Microsoft Excel存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Office Online Server,Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions,Microsoft Excel 2016 (32-bit edition),Microsoft Excel 2016 (64-bit edition)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29977

漏洞名称：Microsoft Office PowerPoint 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1846
• CVE编号：CVE-2025-29978
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Office PowerPoint是美国微软（Microsoft）公司的一个用于制作、演示文稿（PPT）的软件。
  Microsoft Office PowerPoint存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29978

漏洞名称：Microsoft Office 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1852
• CVE编号：CVE-2025-30377
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
  Microsoft Office存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC for Mac 2021,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office for Android,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions,Microsoft Office LTSC for Mac 2024,Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition),Microsoft Office 2019 for 32-bit editions。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30377

漏洞名称：Microsoft SharePoint 代码问题漏洞

• CNNVD编号：CNNVD-202505-1854
• CVE编号：CVE-2025-30378
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
  Microsoft SharePoint存在代码问题漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Server 2019,Microsoft SharePoint Server Subscription Edition。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30378

漏洞名称：Microsoft Office Sharepoint Server 代码问题漏洞

• CNNVD编号：CNNVD-202505-1861
• CVE编号：CVE-2025-30382
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Office Sharepoint Server是美国微软（Microsoft）公司的一款为企业客户而设计的、基于web的内容管理和协作工具。该软件初始版本以Office组件形式存在，现在也仍然大大依托于Office，以提供企业门户、文档协同等功能为主，之后版本支持将Office、Exchange、Lync、Project和Visio结合起来。
  Microsoft Office Sharepoint Server存在代码问题漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Server 2019,Microsoft SharePoint Server Subscription Edition。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30382

漏洞名称：Microsoft Office Sharepoint Server 代码问题漏洞

• CNNVD编号：CNNVD-202505-1864
• CVE编号：CVE-2025-30384
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Office Sharepoint Server是美国微软（Microsoft）公司的一款为企业客户而设计的、基于web的内容管理和协作工具。该软件初始版本以Office组件形式存在，现在也仍然大大依托于Office，以提供企业门户、文档协同等功能为主，之后版本支持将Office、Exchange、Lync、Project和Visio结合起来。
  Microsoft Office Sharepoint Server存在代码问题漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Server 2019,Microsoft SharePoint Server Subscription Edition。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30384

漏洞名称：Microsoft Office 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1865
• CVE编号：CVE-2025-30386
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
  Microsoft Office存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC for Mac 2021,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office for Android,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions,Microsoft Office LTSC for Mac 2024,Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30386

漏洞名称：Microsoft Windows Common Log File System Driver 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1866
• CVE编号：CVE-2025-30385
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Common Log File System Driver是美国微软（Microsoft）公司的通用日志文件系统 (CLFS) API 提供了一个高性能、通用的日志文件子系统，专用客户端应用程序可以使用该子系统并且多个客户端可以共享以优化日志访问。
  Microsoft Windows Common Log File System Driver存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30385

漏洞名称：Microsoft Excel 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1869
• CVE编号：CVE-2025-30393
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。
  Microsoft Excel存在资源管理错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30393

漏洞名称：Microsoft DWM Core Library 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1872
• CVE编号：CVE-2025-30400
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft DWM Core Library是美国微软（Microsoft）公司的微软windows得一个核心库。
  Microsoft DWM Core Library存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30400

漏洞名称：Microsoft Windows Common Log File System Driver 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1873
• CVE编号：CVE-2025-32701
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Common Log File System Driver是美国微软（Microsoft）公司的通用日志文件系统 (CLFS) API 提供了一个高性能、通用的日志文件子系统，专用客户端应用程序可以使用该子系统并且多个客户端可以共享以优化日志访问。
  Microsoft Windows Common Log File System Driver存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32701

漏洞名称：Microsoft Visual Studio 命令注入漏洞

• CNNVD编号：CNNVD-202505-1874
• CVE编号：CVE-2025-32702
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Visual Studio是美国微软（Microsoft）公司的一款开发工具套件系列产品，也是一个基本完整的开发工具集，它包括了整个软件生命周期中所需要的大部分工具。
  Microsoft Visual Studio存在命令注入漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft Visual Studio 2019 version 16.11 (includes 16.0 - 16.10),Microsoft Visual Studio 2022 version 17.12,Microsoft Visual Studio 2022 version 17.13,Microsoft Visual Studio 2022 version 17.8,Microsoft Visual Studio 2022 version 17.10。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32702

漏洞名称：Microsoft Windows Common Log File System Driver 输入验证错误漏洞

• CNNVD编号：CNNVD-202505-1877
• CVE编号：CVE-2025-32706
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Common Log File System Driver是美国微软（Microsoft）公司的通用日志文件系统 (CLFS) API 提供了一个高性能、通用的日志文件子系统，专用客户端应用程序可以使用该子系统并且多个客户端可以共享以优化日志访问。
  Microsoft Windows Common Log File System Driver存在输入验证错误漏洞。以下产品和版本受到影响：Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32706

漏洞名称：Microsoft Outlook 缓冲区错误漏洞

• CNNVD编号：CNNVD-202505-1878
• CVE编号：CVE-2025-32705
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Outlook是美国微软（Microsoft）公司的一套电子邮件应用程序。
  Microsoft Outlook存在缓冲区错误漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Microsoft Office LTSC 2024 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office LTSC 2024 for 32-bit editions。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32705

漏洞名称：Microsoft Windows Ancillary Function Driver for WinSock 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-1880
• CVE编号：CVE-2025-32709
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows Ancillary Function Driver for WinSock是美国微软（Microsoft）公司的Winsock的辅助功能驱动程序。
  Microsoft Windows Ancillary Function Driver for WinSock存在资源管理错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32709

漏洞名称：Microsoft Windows NTFS 缓冲区错误漏洞

• CNNVD编号：CNNVD-202505-1884
• CVE编号：CVE-2025-32707
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-13T00:00:00
• 漏洞描述：Microsoft Windows NTFS是美国微软（Microsoft）公司的一个为计算机文件服务的文件系统。该文件系统具有错误预警功能、磁盘自我修复功能和日志功能。
  Microsoft Windows NTFS存在缓冲区错误漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响：Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-32707

漏洞名称：WordPress plugin Uncanny Automator 代码问题漏洞

• CNNVD编号：CNNVD-202505-2010
• CVE编号：CVE-2025-3623
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin Uncanny Automator 6.4.0.1及之前版本存在代码问题漏洞，该漏洞源于automator_api_decode_message函数对不可信输入的反序列化可能导致PHP对象注入。
• 官方补丁：
  https://wordpress.org/plugins/uncanny-automator/

漏洞名称：ZOHO ManageEngine ADSelfService Plus SQL注入漏洞

• CNNVD编号：CNNVD-202505-2029
• CVE编号：CVE-2025-3833
• 风险等级：高危
• 受影响厂商：卓豪
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：ZOHO ManageEngine ADSelfService Plus是美国卓豪（ZOHO）公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。
  ZOHO ManageEngine ADSelfService Plus 6513及之前版本存在安全漏洞，该漏洞源于MFA报告中存在经过身份验证的SQL注入。
• 官方补丁：
  https://www.manageengine.com/products/self-service-password/download.html?overviewbanner

漏洞名称：ZOHO ManageEngine ADAudit Plus SQL注入漏洞

• CNNVD编号：CNNVD-202505-2030
• CVE编号：CVE-2025-3834
• 风险等级：高危
• 受影响厂商：卓豪
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：ZOHO ManageEngine ADAudit Plus是美国卓豪（ZOHO）公司的用于简化审计、证明合规性和检测威胁。
  ZOHO ManageEngine ADAudit Plus 8510及之前版本存在安全漏洞，该漏洞源于OU History报告中存在经过身份验证的SQL注入。
• 官方补丁：
  https://www.manageengine.com/products/active-directory-audit/download.html?topMenu

漏洞名称：Netgate pfSense CE 代码注入漏洞

• CNNVD编号：CNNVD-202505-2038
• CVE编号：CVE-2024-54780
• 风险等级：高危
• 受影响厂商：Netgate
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Netgate pfSense CE是Netgate公司的一个基于FreeBSD的开源防火墙与路由平台，支持企业级网络安全与网络管理功能。
  Netgate pfSense CE 2.8.0 beta之前版本存在安全漏洞，该漏洞源于OpenVPN小工具用户输入清理不当，可能导致命令注入。
• 官方补丁：
  None

漏洞名称：Progress Telerik UI 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-2041
• CVE编号：CVE-2025-3600
• 风险等级：高危
• 受影响厂商：Progress
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Progress Telerik UI是美国Progress公司的一款用于应用程序开发的UI（用户界面）控件套件。
  Progress Telerik UI 2011.2.712至2025.1.218版本存在安全漏洞，该漏洞源于不安全的反射可能导致未处理的异常，进而导致托管进程崩溃和拒绝服务。
• 官方补丁：
  https://www.telerik.com/products/aspnet-ajax/documentation/upgrade-compatibility/upgrading-instructions/upgrading-a-trial-to-a-developer-license-or-to-a-newer-version

漏洞名称：iTop 操作系统命令注入漏洞

• CNNVD编号：CNNVD-202505-2048
• CVE编号：CVE-2025-24022
• 风险等级：高危
• 受影响厂商：Combodo
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：iTop是Combodo开源的一个简单的、基于 Web 的 IT 服务管理工具。
  iTop 2.7.12之前版本、3.1.3之前版本和3.2.1之前版本存在操作系统命令注入漏洞，该漏洞源于可能通过门户前端执行服务器代码。
• 官方补丁：
  https://github.com/Combodo/iTop/releases

漏洞名称：SonicWALL SMA1000 代码问题漏洞

• CNNVD编号：CNNVD-202505-2062
• CVE编号：CVE-2025-40595
• 风险等级：高危
• 受影响厂商：SonicWALL
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：SonicWALL SMA1000是美国SonicWALL公司的一系列安全移动访问解决方案。简化了对跨本地、云和混合数据中心托管的企业资源的端到端安全远程访问。
  SonicWALL SMA1000存在安全漏洞，该漏洞源于容易受到服务端请求伪造攻击，可能导致请求重定向。
• 官方补丁：
  https://www.sonicwall.com/products/remote-access/secure-mobile-access-1000-series

漏洞名称：SAMSUNG Exynos 缓冲区错误漏洞

• CNNVD编号：CNNVD-202505-2106
• CVE编号：CVE-2024-55569
• 风险等级：高危
• 受影响厂商：三星
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：SAMSUNG Exynos是韩国三星（SAMSUNG）公司的一系列 Samsung Mobile 开发及生产的SoC、基于 Arm 架构的处理器。
  SAMSUNG Exynos存在安全漏洞，该漏洞源于缺少长度检查导致越界写入。
• 官方补丁：
  https://semiconductor.samsung.com/support/quality-support/product-security-updates/cve-2024-55569/

漏洞名称：SAMSUNG多款产品 资源管理错误漏洞

• CNNVD编号：CNNVD-202505-2108
• CVE编号：CVE-2025-26783
• 风险等级：高危
• 受影响厂商：三星
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：SAMSUNG Exynos和SAMSUNG Exynos Modem 5300都是韩国三星（SAMSUNG）公司的产品。SAMSUNG Exynos是一系列 Samsung Mobile 开发及生产的SoC、基于 Arm 架构的处理器。SAMSUNG Exynos Modem 5300是一款调制解调器。
  SAMSUNG多款产品存在安全漏洞，该漏洞源于未定义值处理不当可能导致拒绝服务。以下产品受到影响：Exynos 2100、1280、2200、1330、1380、1480、2400、W1000、Modem 5300和Modem 5400。
• 官方补丁：
  https://semiconductor.samsung.com/us/processor/

漏洞名称：Jenkins plugin Health Advisor by CloudBees 跨站脚本漏洞

• CNNVD编号：CNNVD-202505-2113
• CVE编号：CVE-2025-47885
• 风险等级：高危
• 受影响厂商：Jenkins
• 收录时间：2025-05-14T00:00:00
• 漏洞描述：Jenkins和Jenkins plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。Jenkins plugin是一个应用软件插件。
  Jenkins plugin Health Advisor by CloudBees 374及之前版本存在安全漏洞，该漏洞源于未转义服务器响应，可能导致存储型跨站脚本攻击。
• 官方补丁：
  https://www.jenkins.io/security/advisory/2025-05-14/#SECURITY-3559

漏洞名称：WordPress plugin WP Content Security Plugin 跨站脚本漏洞

• CNNVD编号：CNNVD-202505-2128
• CVE编号：CVE-2025-4579
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin WP Content Security Plugin 2.3及之前版本存在跨站脚本漏洞，该漏洞源于输入清理和转义不足，可能导致存储型跨站脚本攻击。
• 官方补丁：
  https://www.wordfence.com/threat-intel/vulnerabilities/id/f3c4ba08-a9fa-439a-a887-b8c113f78e20?source=cve

漏洞名称：WordPress plugin File Manager Advanced Shortcode 路径遍历漏洞

• CNNVD编号：CNNVD-202505-2132
• CVE编号：CVE-2024-13914
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin File Manager Advanced Shortcode 2.5.4及之前版本存在路径遍历漏洞，该漏洞源于容易受到本地文件包含攻击。
• 官方补丁：
  https://www.wordfence.com/threat-intel/vulnerabilities/id/1500c72a-0621-4f97-9cab-0c9c8abeaf8f?source=cve

漏洞名称：WordPress plugin UiPress lite 代码注入漏洞

• CNNVD编号：CNNVD-202505-2133
• CVE编号：CVE-2025-3053
• 风险等级：高危
• 受影响厂商：WordPress
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
  WordPress plugin UiPress lite 3.5.07及之前版本存在代码注入漏洞，该漏洞源于uip_process_form_input函数未验证用户输入，可能导致远程代码执行。
• 官方补丁：
  https://www.wordfence.com/threat-intel/vulnerabilities/id/6717adb0-27bc-4cd4-8c34-bea59bc0e016?source=cve

漏洞名称：PHPGurukul Directory Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2151
• CVE编号：CVE-2025-4698
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Directory Management System是PHPGurukul公司的一个目录管理系统。
  PHPGurukul Directory Management System 2.0版本存在注入漏洞，该漏洞源于对文件/admin/forget-password.php中参数email的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：PHPGurukul Apartment Visitors Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2155
• CVE编号：CVE-2025-4699
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Apartment Visitors Management System是PHPGurukul公司的一个公寓访客管理系统。
  PHPGurukul Apartment Visitors Management System 1.0版本存在注入漏洞，该漏洞源于对文件/admin/visitors-form.php中参数Category的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：PHPGurukul Vehicle Parking Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2162
• CVE编号：CVE-2025-4702
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Vehicle Parking Management System是PHPGurukul公司的一个停车管理系统。
  PHPGurukul Vehicle Parking Management System 1.13版本存在注入漏洞，该漏洞源于对文件/admin/add-category.php中参数catename的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：PHPGurukul Vehicle Parking Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2171
• CVE编号：CVE-2025-4704
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Vehicle Parking Management System是PHPGurukul公司的一个停车管理系统。
  PHPGurukul Vehicle Parking Management System 1.13版本存在注入漏洞，该漏洞源于对文件/admin/edit-category.php中参数editid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：PHPGurukul Vehicle Parking Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2172
• CVE编号：CVE-2025-4703
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Vehicle Parking Management System是PHPGurukul公司的一个停车管理系统。
  PHPGurukul Vehicle Parking Management System 1.13版本存在注入漏洞，该漏洞源于对文件/admin/admin-profile.php中参数contactnumber的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2181
• CVE编号：CVE-2025-4708
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/sales_add.php中参数discount的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：Projectworlds Online Examination System 注入漏洞

• CNNVD编号：CNNVD-202505-2182
• CVE编号：CVE-2025-4706
• 风险等级：高危
• 受影响厂商：Projectworlds
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：Projectworlds Online Examination System是印度Projectworlds公司的一个在线考试系统。
  Projectworlds Online Examination System 1.0版本存在注入漏洞，该漏洞源于对文件/Procedure3b_yearwiseVisit.php中参数Visit_year的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2183
• CVE编号：CVE-2025-4707
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/transaction_add.php中参数prod_name的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2198
• CVE编号：CVE-2025-4713
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/print.php中参数sid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2200
• CVE编号：CVE-2025-4712
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/account_summary.php中参数cid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2206
• CVE编号：CVE-2025-4714
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/reprint.php中参数sid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：Microsoft Defender for Endpoint 访问控制错误漏洞

• CNNVD编号：CNNVD-202505-2405
• CVE编号：CVE-2025-47161
• 风险等级：高危
• 受影响厂商：微软
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：Microsoft Defender for Endpoint是美国微软（Microsoft）公司的一个企业端点安全平台，可帮助防御高级持续性威胁。
  Microsoft Defender for Endpoint存在访问控制错误漏洞，该漏洞源于权限提升漏洞。
• 官方补丁：
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47161

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2412
• CVE编号：CVE-2025-4715
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/view_application.php中参数cid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2413
• CVE编号：CVE-2025-4716
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/credit_transaction_add.php中参数prod_name的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：PHPGurukul Company Visitor Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2414
• CVE编号：CVE-2025-4717
• 风险等级：高危
• 受影响厂商：PHPGurukul
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：PHPGurukul Company Visitor Management System是PHPGurukul公司的一个访客管理系统。
  PHPGurukul Company Visitor Management System 2.0版本存在注入漏洞，该漏洞源于对文件/visitors-form.php中参数fullname的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2418
• CVE编号：CVE-2025-4718
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/customer_add.php中参数last的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：CampCodes Sales and Inventory System 注入漏洞

• CNNVD编号：CNNVD-202505-2419
• CVE编号：CVE-2025-4719
• 风险等级：高危
• 受影响厂商：CampCodes
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：CampCodes Sales and Inventory System是CampCodes公司的一个销售和库存系统。
  CampCodes Sales and Inventory System 1.0版本存在注入漏洞，该漏洞源于对文件/pages/cash_transaction.php中参数cid的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：itsourcecode Placement Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2421
• CVE编号：CVE-2025-4721
• 风险等级：高危
• 受影响厂商：itsourcecode
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：itsourcecode Placement Management System是itsourcecode开源的一个放置管理系统。
  itsourcecode Placement Management System 1.0版本存在注入漏洞，该漏洞源于对文件/drive.php中参数ID的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：itsourcecode Placement Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2425
• CVE编号：CVE-2025-4722
• 风险等级：高危
• 受影响厂商：itsourcecode
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：itsourcecode Placement Management System是itsourcecode开源的一个放置管理系统。
  itsourcecode Placement Management System 1.0版本存在注入漏洞，该漏洞源于对文件/edit_profile.php中参数Name的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：itsourcecode Placement Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2426
• CVE编号：CVE-2025-4723
• 风险等级：高危
• 受影响厂商：itsourcecode
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：itsourcecode Placement Management System是itsourcecode开源的一个放置管理系统。
  itsourcecode Placement Management System 1.0版本存在注入漏洞，该漏洞源于对文件/all_student.php中参数delete的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：itsourcecode Placement Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2428
• CVE编号：CVE-2025-4725
• 风险等级：高危
• 受影响厂商：itsourcecode
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：itsourcecode Placement Management System是itsourcecode开源的一个放置管理系统。
  itsourcecode Placement Management System 1.0版本存在注入漏洞，该漏洞源于对文件/view_drive.php中参数ID的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：itsourcecode Placement Management System 注入漏洞

• CNNVD编号：CNNVD-202505-2432
• CVE编号：CVE-2025-4726
• 风险等级：高危
• 受影响厂商：itsourcecode
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：itsourcecode Placement Management System是itsourcecode开源的一个放置管理系统。
  itsourcecode Placement Management System 1.0版本存在注入漏洞，该漏洞源于对文件/view_student.php中参数ID的错误操作导致SQL注入。
• 官方补丁：
  None

漏洞名称：SourceCodester Best Online News Portal 注入漏洞

• CNNVD编号：CNNVD-202505-2435
• CVE编号：CVE-2025-4728
• 风险等级：高危
• 受影响厂商：SourceCodester
• 收录时间：2025-05-15T00:00:00
• 漏洞描述：SourceCodester Best Online News Portal是SourceCodester开源的一个最佳在线新闻门户。
  SourceCodester Best Online News Portal 1.0版本存在注入漏洞，该漏洞源于对文件/search.php中参数searchtitle的错误操作导致SQL注入。
• 官方补丁：
  None

四、漏洞趋势分析

1. 本周漏洞类型分布：
   • 远程代码执行（RCE）：18%
   • 权限提升：12%
   • 信息泄露：8%
   • SQL注入：22%
   • 代码注入/缓冲区错误：28%
   • 其他类型：12%
2. 对比上周变化：
   • 高危漏洞数量激增 14500%（从上周0个增至145个）；
   • 微软漏洞占比 38%（共29个超危/高危漏洞），其次是WordPress插件（17%）、SAP（9%）、三星（5%）。

五、行动建议

1. 紧急修复：
   • 超危漏洞：CVE-2025-30387（微软Azure路径遍历）、CVE-2024-24780（Apache IoTDB代码注入）、CVE-2025-47884（Jenkins插件访问控制错误）。
   • 高危漏洞：CVE-2025-29831（微软远程桌面网关RCE）、CVE-2025-3833（ZOHO ManageEngine SQL注入）。
2. 长期监控：
   • 微软5月安全更新涉及Windows组件（CLFS驱动、远程桌面服务）、Office套件；
   • WordPress插件生态（Relevanssi/TheGem等）需持续跟踪第三方补丁。
3. 内部自查：
   • 检查Microsoft Azure、SharePoint Server、Windows Server 2025版本；
   • 更新WordPress插件至Relevanssi 4.24.5+、TheGem 5.10.4+。

（注：漏洞类型分布与厂商占比基于重点漏洞清单数据推算，实际需结合全量漏洞统计。）

六、附录

• 数据来源：
  • 国家信息安全漏洞库