2025年03月12日摄星科技“关键漏洞目录”新增6个漏洞,包括Microsoft Windows Management Console (MMC)安全功能绕过漏洞和Microsoft Windows Win32k内核子系统特权提升漏洞。关键漏洞目录漏洞总数增加到1306个。
已被添加到CISA KEV、关键漏洞目录
CVSS v3.1向量:AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
漏洞级别:高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26633
CVSS v3.1向量:AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Microsoft Windows Win32k内核子系统存在释放后使用问题,允许授权攻击者在本地提升权限。经过身份验证的用户通过运行特制的程序,最终以SYSTEM权限执行代码。
Windows 10
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24983
CVSS v3.1向量:AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C
Microsoft Windows NTFS包含将敏感信息插入日志文件的漏洞,允许授权攻击者在本地泄露信息。成功利用此漏洞的攻击者可能会读取堆内存的一部分。具有设备物理访问权并插入恶意USB驱动器的攻击者可以利用此漏洞。
Windows Server
Windows 10
Windows 11
使用Microsoft自动更新为您的系统应用适当的补丁,或使用Microsoft安全更新指南搜索可用的补丁。参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24984
CVSS v3.1向量:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Microsoft Windows Fast FAT驱动程序中的整数溢出或回绕允许未经授权的攻击者在本地执行代码。攻击者通过诱骗易受攻击的系统上的本地用户安装特制的VHD来触发漏洞。
Windows Server
Windows 11
使用Microsoft自动更新为您的系统应用适当的补丁,或使用Microsoft安全更新指南搜索可用的补丁。参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985
CVSS v3.1向量:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C
Microsoft Windows NTFS中的越界读取允许授权攻击者在本地泄露信息,攻击者可以利用此漏洞读取小部分堆内存并窃取信息。攻击者需要通过诱骗用户安装恶意VHD文件来利用此漏洞。
Windows Server
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24991
CVSS v3.1向量:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Microsoft Windows NTFS中基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码。
Windows Server
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24993
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过玄猫定制化情报SaaS平台(xm.vulinsight.com.cn)、摄星漏洞管控平台获取服务和支持。