上周关注度较高的产品安全漏洞(20250623-20250629)

一、境外厂商产品漏洞

1、TOTOLINK EX1200T缓冲区溢出漏洞

TOTOLINK EX1200T是中国吉翁电子（TOTOLINK）公司的一款Wi-Fi范围扩展器。TOTOLINK EX1200T 4.1.2cu.5232_B20210713版本存在缓冲区溢出漏洞。该漏洞产生的原因是HTTP POST请求处理组件中文件/boafrm/formStats的某些未知处理过程存在错误。攻击者可利用该漏洞远程发起攻击，导致缓冲区溢出。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13832

2、Microsoft Excel代码执行漏洞（CNVD-2025-13266）

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞，攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13266

3、NETGEAR R6850 c4-IPAddr参数命令注入漏洞

NETGEAR R6850是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R6850存在命令注入漏洞，该漏洞源于c4-IPAddr参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13264

4、ABB多款产品路径遍历漏洞（CNVD-2025-13774）

ABB ASPECT-Enterprise是一款可扩展建筑能源管理和控制解决方案。ABB NEXUS Series是一种监控管理系统。ABB MATRIX Series是一款嵌入式物联网ASPECT控制引擎，旨在为中型到大型现场控制应用提供灵活的现场控制。ABB多款产品存在路径遍历漏洞，攻击者可利用该漏洞导致敏感数据泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13774

5、ABB多款产品权限提升漏洞

ABB ASPECT-Enterprise是一款可扩展建筑能源管理和控制解决方案。ABB NEXUS Series是一种监控管理系统。ABB MATRIX Series是一款嵌入式物联网ASPECT控制引擎，旨在为中型到大型现场控制应用提供灵活的现场控制。ABB多款产品存在权限提升漏洞，攻击者可利用该漏洞导致服务器根访问。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13773

二、境内厂商产品漏洞

1、瑞斯康达科技发展股份有限公司多业务智能网关存在文件上传漏洞

瑞斯康达科技发展股份有限公司专注于光纤宽带接入领域，致力于光纤技术、以太网技术及宽带接入技术的融合。瑞斯康达科技发展股份有限公司多业务智能网关存在文件上传漏洞，攻击者可利用漏洞上传恶意文件，获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13629

2、用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

U8 Cloud是一款企业上云数字化平台，集交易、服务、管理于一体的ERP整体解决方案。用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13655

3、阳光电源股份有限公司Logger1000存在信息泄露漏洞

Logger1000是应用于光伏电站中逆变器等光伏设备的数据采集、功率控制与协议转换设备。阳光电源股份有限公司Logger1000存在信息泄露漏洞，攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13641

4、新华三技术有限公司H3C NX54存在命令执行漏洞

H3C NX54是一款支持Wi-Fi 6（802.11ax）协议的千兆双频路由器。新华三技术有限公司H3C NX54存在命令执行漏洞，攻击者可利用漏洞执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13489

5、北京网动网络科技股份有限公司网动统一通信平台存在未授权访问漏洞

网动统一通信平台是一款综合性的通信平台，旨在提升用户的沟通效率和便利性，提供一个统一的通信环境。北京网动网络科技股份有限公司网动统一通信平台存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-13668