2025年06月27日摄星科技“关键漏洞目录”新增3个漏洞,包括AMI MegaRAC SPx身份验证绕过漏洞和D-Link DIR-859路径遍历漏洞。关键漏洞目录漏洞总数增加到1377个。
AMI MegaRAC SPx身份验证绕过漏洞
已被添加到CISA KEV、关键漏洞目录
CVSS v4.0向量:AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
漏洞级别:超危
AMI MegaRAC SPx的Redfish主机接口存在通过伪造实现身份验证绕过的漏洞。成功利用此漏洞可能会导致机密性、完整性和/或可用性的丧失。漏洞影响使用MegaRAC SPx的厂商产品,包括不限于lenovo、NetAPP等。
https://go.ami.com/hubfs/Security%20Advisories/2025/AMI-SA-2025003.pdf
https://support.lenovo.com/us/en/product_security/LEN-182877
https://security.netapp.com/advisory/ntap-20250328-0003/
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
D-Link DIR-859路由器的HTTP POST请求处理组件中的文件/hedwig.cgi存在路径遍历漏洞。通过将参数service的值设置为../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml,可导致会话数据泄露,进而可能实现权限提升和对设备的未授权控制。
Dlink Dir-859 Firmware 1.06b01
Dlink Dir-859
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10371
CVSS v3.1向量:AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
参考链接:https://fortiguard.com/psirt/FG-IR-19-007
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/keyFlawCatalog查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过玄猫定制化情报SaaS平台(xm.vulinsight.com.cn)、摄星漏洞管控平台获取服务和支持。