2025年11月27日星期四

GitLab 多個漏洞

GitLab 多個漏洞

發佈日期: 2025年11月27日

風險: 中度風險

類型: 伺服器 - 其他伺服器

於 GitLab 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務、洩露敏感資料及繞過保安限制。

影響

  • 阻斷服務
  • 繞過保安限制
  • 資料洩露

受影響之系統或技術

  • GitLab Community Edition (CE) 18.6.1, 18.5.3, 18.4.5 以前的版本
  • GitLab Enterprise Edition (EE) 18.6.1, 18.5.3, 18.4.5 以前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

GitLab Multiple Vulnerabilities

GitLab Multiple Vulnerabilities

Release Date: 27 Nov 2025

RISK: Medium Risk

TYPE: Servers - Other Servers

Multiple vulnerabilities were identified in GitLab. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, sensitive information disclosure and security restriction bypass on the targeted system.

Impact

  • Denial of Service
  • Security Restriction Bypass
  • Information Disclosure

System / Technologies affected

  • GitLab Community Edition (CE) versions prior to 18.6.1, 18.5.3, 18.4.5
  • GitLab Enterprise Edition (EE) versions prior to 18.6.1, 18.5.3, 18.4.5

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月26日星期三

ASUS 路由器多個漏洞

ASUS 路由器多個漏洞

發佈日期: 2025年11月26日

風險: 中度風險

類型: 操作系統 - Network

於ASUS 路由器發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、阻斷服務狀況、權限提升、洩露敏感資料、資料篡改、及繞過保安限制。

 

影響

  • 阻斷服務
  • 遠端執行程式碼
  • 篡改
  • 資料洩露
  • 繞過保安限制
  • 權限提升

受影響之系統或技術

  • 3.0.0.4_386之前版本
  • 3.0.0.4_388之前版本
  • 3.0.0.6_102之前版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝供應商提供的修補程式:

 

  • 3.0.0.4_386 或之後版本
  • 3.0.0.4_388 或之後版本
  • 3.0.0.6_102 或之後版本

漏洞識別碼

資料來源

相關連結

沒有留言:

ASUS Router Multiple Vulnerabilities

ASUS Router Multiple Vulnerabilities

Release Date: 26 Nov 2025

RISK: Medium Risk

TYPE: Operating Systems - Networks OS

Multiple vulnerabilities were identified in ASUS Router. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution, denial of service condition, elevation of privilege, sensitive information disclosure, data manipulation, and security restriction bypass on the targeted system.

Impact

  • Denial of Service
  • Remote Code Execution
  • Data Manipulation
  • Information Disclosure
  • Security Restriction Bypass
  • Elevation of Privilege

System / Technologies affected

  • Series prior to 3.0.0.4_386
  • Series prior to 3.0.0.4_388
  • Series prior to 3.0.0.6_102

Solutions

Before installation of the software, please visit the vendor web-site for more details.

Apply fixes issued by the vendor:

 

  • 3.0.0.4_386 or later series
  • 3.0.0.4_388 or later series
  • 3.0.0.6_102 or later series

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月21日星期五

SonicWall 產品多個漏洞

SonicWall 產品多個漏洞

發佈日期: 2025年11月21日

風險: 中度風險

類型: 操作系統 - Network

於 SonicWall Products 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、洩露敏感資料及資料篡改。

影響

  • 遠端執行程式碼
  • 阻斷服務
  • 資料洩露
  • 篡改

受影響之系統或技術

  • Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMware and Hyper-V) 10.0.33.8195 及之前的版本
  • Gen7 hardware Firewalls (TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700) 7.3.0-7012 及之前的版本
  • Gen7 virtual Firewalls (NSv270, NSv470, NSv870 for ESX, KVM, Hyper-V, AWS, Azure) 7.3.0-7012 及之前的版本
  • Gen8 Firewalls (TZ80, TZ280, TZ380, TZ480, TZ580, TZ680, NSa 2800, NSa 3800, NSa 4800, NSa 5800) 8.0.2-8011 及之前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

SonicWall Products Multiple Vulnerabilities

SonicWall Products Multiple Vulnerabilities

Release Date: 21 Nov 2025

RISK: Medium Risk

TYPE: Operating Systems - Networks OS

Multiple vulnerabilities were identified in SonicWall Products. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, remote code execution, sensitive information disclosure and data manipulation on the targeted system.

Impact

  • Remote Code Execution
  • Denial of Service
  • Information Disclosure
  • Data Manipulation

System / Technologies affected

  • Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMware and Hyper-V) 10.0.33.8195 and earlier versions
  • Gen7 hardware Firewalls (TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700) 7.3.0-7012 and older versions
  • Gen7 virtual Firewalls (NSv270, NSv470, NSv870 for ESX, KVM, Hyper-V, AWS, Azure) 7.3.0-7012 and older versions
  • Gen8 Firewalls (TZ80, TZ280, TZ380, TZ480, TZ580, TZ680, NSa 2800, NSa 3800, NSa 4800, NSa 5800) 8.0.2-8011 and older versions

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月20日星期四

Aruba 產品多個漏洞

Aruba 產品多個漏洞

發佈日期: 2025年11月20日

風險: 中度風險

類型: 保安軟件及應用設備 - 保安軟件及應用設備

在Aruba產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、繞過保安限制、洩露敏感資料、資料篡改及遠端執行任意程式碼。

影響

  • 遠端執行程式碼
  • 篡改
  • 資料洩露
  • 繞過保安限制
  • 阻斷服務

受影響之系統或技術

HPE Aruba Networking AOS-CX Software 版本:

 

  • AOS-CX 10.16.xxxx:10.16.1000 及以下版本
  • AOS-CX 10.15.xxxx:10.15.1020 及以下版本
  • AOS-CX 10.14.xxxx:10.14.1050 及以下版本
  • AOS-CX 10.13.xxxx:10.13.1090 及以下版本
  • AOS-CX 10.10.xxxx:10.10.1160 及以下版本

 

HPE Aruba Networking 100 Series Cellular Bridge 版本:

 

  • AOS-10.7.1.x:10.7.1.1 及以下版本

 

HPE Aruba Networking Management Software (AirWave):

 

  • 8.3.0.4 及以下版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

Aruba Products Multiple Vulnerabilities

Aruba Products Multiple Vulnerabilities

Release Date: 20 Nov 2025

RISK: Medium Risk

TYPE: Security software and application - Security Software & Appliance

Multiple vulnerabilities were identified in Aruba Products. A remote attacker could exploit these vulnerabilities to trigger denial of service condition, security restriction bypass, sensitive information disclosure, data manipulation and remote code execution on the targeted system.

Impact

  • Remote Code Execution
  • Data Manipulation
  • Information Disclosure
  • Security Restriction Bypass
  • Denial of Service

System / Technologies affected

HPE Aruba Networking AOS-CX Software Version(s):

 

  • AOS-CX 10.16.xxxx: 10.16.1000 and below
  • AOS-CX 10.15.xxxx: 10.15.1020 and below
  • AOS-CX 10.14.xxxx: 10.14.1050 and below
  • AOS-CX 10.13.xxxx: 10.13.1090 and below
  • AOS-CX 10.10.xxxx: 10.10.1160 and below

 

HPE Aruba Networking 100 Series Cellular Bridge Version(s):

 

  • AOS-10.7.1.x: 10.7.1.1 and below

 

HPE Aruba Networking Management Software (AirWave):

 

  • 8.3.0.4 and below

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

WhatsApp 繞過保安限制漏洞

WhatsApp 繞過保安限制漏洞

發佈日期: 2025年11月20日

風險: 中度風險

類型: 用戶端 - IM、聊天及VoIP

於 WhatsApp 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發繞過保安限制。

影響

  • 繞過保安限制

受影響之系統或技術

  • WhatsApp for iOS v2.25.23.73 之前的版本
  • WhatsApp Business for iOS v2.25.23.82
  • WhatsApp for Mac v2.25.23.83

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝軟件供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

WhatsApp Security Restriction Bypass Vulnerability

WhatsApp Security Restriction Bypass Vulnerability

Release Date: 20 Nov 2025

RISK: Medium Risk

TYPE: Clients - Im, Chat & Voip

A vulnerability has been identified in in WhatsApp. A remote attacker could exploit this vulnerability to trigger security restriction bypass on the targeted system.

Impact

  • Security Restriction Bypass

System / Technologies affected

  • WhatsApp for iOS prior to v2.25.23.73
  • WhatsApp Business for iOS v2.25.23.82
  • WhatsApp for Mac v2.25.23.83

Solutions

Before installation of the software, please visit the software vendor web-site for more details.

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月19日星期三

Fortinet 產品多個漏洞

Fortinet 產品多個漏洞

發佈日期: 2025年11月19日

風險: 高度風險

類型: 操作系統 - Network

於 Fortinet 產品發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料及權限提升。

 

注意:

CVE-2025-58034 正在被廣泛利用。此漏洞存在於 FortiWeb 並可能允許經過驗證的攻擊者透過精心設計的 HTTP 請求或 CLI 命令在底層系統上執行未經授權的程式碼。因此,風險等級被評為高度風險。

影響

  • 遠端執行程式碼
  • 權限提升
  • 資料洩露

受影響之系統或技術

FortiOS

  • FortiOS 6.0 所有版本
  • FortiOS 6.2 所有版本
  • FortiOS 6.4 所有版本
  • FortiOS 7.0 所有版本
  • FortiOS 7.2 所有版本
  • FortiOS 7.4 所有版本
  • FortiOS 7.4.0 至 7.4.8
  • FortiOS 7.6.0 至 7.6.3

FortiProxy

  • FortiProxy 7.0 所有版本
  • FortiProxy 7.2 所有版本
  • FortiProxy 7.4 所有版本
  • FortiProxy 7.6.0 至 7.6.3

FortiWeb

  • FortiWeb 7.0 所有版本
  • FortiWeb 7.0.0 至 7.0.11
  • FortiWeb 7.2 所有版本
  • FortiWeb 7.2.0 至 7.2.11
  • FortiWeb 7.4 所有版本
  • FortiWeb 7.4.0 至 7.4.10
  • FortiWeb 7.6.0 至 7.6.5
  • FortiWeb 8.0.0 至 8.0.1

FortiMail

  • FortiMail 7.0 所有版本
  • FortiMail 7.2 所有版本
  • FortiMail 7.4.0 至 7.4.5
  • FortiMail 7.6.0 至 7.6.3

FortiClientWindows

  • FortiClientWindows 7.0 所有版本
  • FortiClientWindows 7.2.0 至 7.2.10
  • FortiClientWindows 7.4.0 至 7.4.3

FortiSASE

  • FortiSASE 25.3.b

FortiPAM

  • FortiPAM 1.0 所有版本
  • FortiPAM 1.1 所有版本
  • FortiPAM 1.2 所有版本
  • FortiPAM 1.3 所有版本
  • FortiPAM 1.4 所有版本
  • FortiPAM 1.5 所有版本
  • FortiPAM 1.6.0

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

Fortinet Products Multiple Vulnerabilities

Fortinet Products Multiple Vulnerabilities

Release Date: 19 Nov 2025

RISK: High Risk

TYPE: Operating Systems - Networks OS

Multiple vulnerabilities were identified in Fortinet Products. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution, sensitive information disclosure and elevation of privilege on the targeted system.

 

Note:

CVE-2025-58034 is being exploited in the wild. This vulnerability in FortiWeb may allow an authenticated attacker to execute unauthorized code on the underlying system via crafted HTTP requests or CLI commands. Hence, the risk level is rated as High Risk.

Impact

  • Remote Code Execution
  • Elevation of Privilege
  • Information Disclosure

System / Technologies affected

FortiOS

  • FortiOS 6.0 all versions
  • FortiOS 6.2 all versions
  • FortiOS 6.4 all versions
  • FortiOS 7.0 all versions
  • FortiOS 7.2 all versions
  • FortiOS 7.4 all versions
  • FortiOS 7.4.0 through 7.4.8
  • FortiOS 7.6.0 through 7.6.3

FortiProxy

  • FortiProxy 7.0 all versions
  • FortiProxy 7.2 all versions
  • FortiProxy 7.4 all versions
  • FortiProxy 7.6.0 through 7.6.3

FortiWeb

  • FortiWeb 7.0 all versions
  • FortiWeb 7.0.0 through 7.0.11
  • FortiWeb 7.2 all versions
  • FortiWeb 7.2.0 through 7.2.11
  • FortiWeb 7.4 all versions
  • FortiWeb 7.4.0 through 7.4.10
  • FortiWeb 7.6.0 through 7.6.5
  • FortiWeb 8.0.0 through 8.0.1

FortiMail

  • FortiMail 7.0 all versions
  • FortiMail 7.2 all versions
  • FortiMail 7.4.0 through 7.4.5
  • FortiMail 7.6.0 through 7.6.3

FortiClientWindows

  • FortiClientWindows 7.0 all versions
  • FortiClientWindows 7.2.0 through 7.2.10
  • FortiClientWindows 7.4.0 through 7.4.3

FortiSASE

  • FortiSASE 25.3.b

FortiPAM

  • FortiPAM 1.0 all versions
  • FortiPAM 1.1 all versions
  • FortiPAM 1.2 all versions
  • FortiPAM 1.3 all versions
  • FortiPAM 1.4 all versions
  • FortiPAM 1.5 all versions
  • FortiPAM 1.6.0

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

Microsoft Edge 多個漏洞

Microsoft Edge 多個漏洞

發佈日期: 2025年11月19日

風險: 極高度風險

類型: 用戶端 - 瀏覽器

於 Microsoft Edge 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼。

 

注意:

CVE-2025-13223 正在被廣泛利用。該漏洞是由 Chrome V8 JavaScript 引擎中引起,可以導致在目標裝置上遠端執行程式碼。

影響

  • 遠端執行程式碼

受影響之系統或技術

  • Microsoft Edge 142.0.3595.90 之前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝軟件供應商提供的修補程式:

  • 更新至 142.0.3595.90 或之後版本

漏洞識別碼

資料來源

相關連結

沒有留言:

Microsoft Edge Multiple Vulnerabilities

Microsoft Edge Multiple Vulnerabilities

Release Date: 19 Nov 2025

RISK: Extremely High Risk

TYPE: Clients - Browsers

Multiple vulnerabilities were identified in Microsoft Edge. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution on the targeted system.

 

Note:

CVE-2025-13223 is being exploited in the wild. The vulnerability is caused by a type confusion weakness in the Chrome V8 JavaScript engine and can lead to remote code execution on targeted device.

Impact

  • Remote Code Execution

System / Technologies affected

  • Microsoft Edge version prior to 142.0.3595.90

Solutions

Before installation of the software, please visit the software vendor web-site for more details.

Apply fixes issued by the vendor:

  • Update to version 142.0.3595.90 or later

Vulnerability Identifier

Source

Related Link

沒有留言:

Google Chrome 多個漏洞

Google Chrome 多個漏洞

發佈日期: 2025年11月18日

風險: 極高度風險

類型: 用戶端 - 瀏覽器

於 Google Chrome 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼。

 

注意:

CVE-2025-13223 正在被廣泛利用。該漏洞是由 Chrome V8 JavaScript 引擎中引起,可以導致在目標裝置上遠端執行程式碼。

影響

  • 遠端執行程式碼

受影響之系統或技術

  • Google Chrome 142.0.7444.175 (Linux) 之前的版本
  • Google Chrome 142.0.7444.176 (Mac) 之前的版本
  • Google Chrome 142.0.7444.175/.176 (Windows) 之前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝軟件供應商提供的修補程式:

  • 更新至 142.0.7444.175 (Linux) 或之後版本
  • 更新至 142.0.7444.176 (Mac) 或之後版本
  • 更新至 142.0.7444.175/.176 (Windows) 或之後版本

漏洞識別碼

資料來源

相關連結

沒有留言:

Google Chrome Multiple Vulnerabilities

Google Chrome Multiple Vulnerabilities

Release Date: 18 Nov 2025

RISK: Extremely High Risk

TYPE: Clients - Browsers

Multiple vulnerabilities were identified in Google Chrome. A remote attacker could exploit some of these vulnerabilities to trigger remote code execution on the targeted system.

 

Note:

CVE-2025-13223 is being exploited in the wild. The vulnerability is caused by a type confusion weakness in the Chrome V8 JavaScript engine and can lead to remote code execution on targeted device.

Impact

  • Remote Code Execution

System / Technologies affected

  • Google Chrome prior to 142.0.7444.175 (Linux)
  • Google Chrome prior to 142.0.7444.176 (Mac)
  • Google Chrome prior to 142.0.7444.175/.176 (Windows)

Solutions

Before installation of the software, please visit the software vendor web-site for more details.

Apply fixes issued by the vendor:

  • Update to version 142.0.7444.175 (Linux) or later
  • Update to version 142.0.7444.176 (Mac) or later
  • Update to version 142.0.7444.175/.176 (Windows) or later

Vulnerability Identifier

Source

Related Link

沒有留言:

Mozilla Thunderbird 多個漏洞

Mozilla Thunderbird 多個漏洞

發佈日期: 2025年11月18日

風險: 中度風險

類型: 用戶端 - 瀏覽器

於 Mozilla Thunderbird 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、彷冒、遠端執行任意程式碼及繞過保安限制。

 

影響

  • 阻斷服務
  • 遠端執行程式碼
  • 仿冒
  • 繞過保安限制

受影響之系統或技術

以下版本之前的版本﹕

 

  • Thunderbird 145
  • Thunderbird 140.5

解決方案

在安裝軟體之前,請先瀏覽供應商之官方網站,以獲得更多詳細資料。

更新至版本:

 

  • Thunderbird 145
  • Thunderbird 140.5
 

漏洞識別碼

資料來源

相關連結

沒有留言:

Mozilla Thunderbird Multiple Vulnerabilities

Mozilla Thunderbird Multiple Vulnerabilities

Release Date: 18 Nov 2025

RISK: Medium Risk

TYPE: Clients - Browsers

Multiple vulnerabilities were identified in Mozilla Thunderbird. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, spoofing, remote code execution and security restriction bypass on the targeted system.

Impact

  • Denial of Service
  • Remote Code Execution
  • Spoofing
  • Security Restriction Bypass

System / Technologies affected

Versions prior to:

 

  • Thunderbird 145
  • Thunderbird 140.5
 

Solutions

Before installation of the software, please visit the vendor web-site for more details.

Apply fixes issued by the vendor:

 

  • Thunderbird 145
  • Thunderbird 140.5

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月17日星期一

ASUS 路由器繞過保安限制漏洞

ASUS 路由器繞過保安限制漏洞

發佈日期: 2025年11月17日

風險: 中度風險

類型: 操作系統 - Network

在 ASUS 路由器發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發繞過保安限制。

 

影響

  • 繞過保安限制

受影響之系統或技術

  • DSL-AC51: 1.1.2.3_1010 之前版本
  • DSL-N16: 1.1.2.3_1010 之前版本
  • DSL-AC750: 1.1.2.3_1010 之前版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝供應商提供的修補程式:

 

  • DSL-AC51: 1.1.2.3_1010 或之後版本
  • DSL-N16: 1.1.2.3_1010 或之後版本
  • DSL-AC750: 1.1.2.3_1010 或之後版本

漏洞識別碼

資料來源

相關連結

沒有留言:

ASUS Router Security Restriction Bypass Vulnerability

ASUS Router Security Restriction Bypass Vulnerability

Release Date: 17 Nov 2025

RISK: Medium Risk

TYPE: Operating Systems - Networks OS

A vulnerability has been identified in ASUS Router. A remote attacker could exploit this vulnerability to trigger security restriction bypass on the targeted system.

Impact

  • Security Restriction Bypass

System / Technologies affected

  • DSL-AC51: versions prior to 1.1.2.3_1010
  • DSL-N16: versions prior to 1.1.2.3_1010
  • DSL-AC750: versions prior to 1.1.2.3_1010

Solutions

Before installation of the software, please visit the vendor web-site for more details.

Apply fixes issued by the vendor:

 

  • DSL-AC51: 1.1.2.3_1010 or later version
  • DSL-N16: 1.1.2.3_1010 or later version
  • DSL-AC750: 1.1.2.3_1010 or later version

Vulnerability Identifier

Source

Related Link

沒有留言:

Fortinet FortiWeb 遠端執行程式碼漏洞

Fortinet FortiWeb 遠端執行程式碼漏洞

發佈日期: 2025年11月17日

風險: 極高度風險

類型: 操作系統 - Network

於 Fortinet FortiWeb發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼。

 

注意:

CVE-2025-64446 正在被廣泛利用。FortiWeb 中的這個相對路徑遍歷漏洞可能允許未經身份驗證的攻擊者透過精心建構的 HTTP 或 HTTPS 請求在系統上執行管理程式碼。

 

影響

  • 遠端執行程式碼

受影響之系統或技術

FortiWeb

  • FortiWeb 7.0.0 至 7.0.11
  • FortiWeb 7.2.0 至 7.2.11
  • FortiWeb 7.4.0 至 7.4.9
  • FortiWeb 7.6.0 至 7.6.4
  • FortiWeb 8.0.0 至 8.0.1

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

Fortinet FortiWeb Remote Code Execution Vulnerability

Fortinet FortiWeb Remote Code Execution Vulnerability

Release Date: 17 Nov 2025

RISK: Extremely High Risk

TYPE: Operating Systems - Networks OS

A vulnerability was identified in Fortinet FortiWeb. A remote attacker could exploit this vulnerability to trigger remote code execution on the targeted system.

 

Note:

 

Impact

  • Remote Code Execution

System / Technologies affected

FortiWeb

  • FortiWeb 7.0.0 through 7.0.11
  • FortiWeb 7.2.0 through 7.2.11
  • FortiWeb 7.4.0 through 7.4.9
  • FortiWeb 7.6.0 through 7.6.4
  • FortiWeb 8.0.0 through 8.0.1

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

2025年11月14日星期五

Microsoft Edge 遠端執行程式碼漏洞

Microsoft Edge 遠端執行程式碼漏洞

發佈日期: 2025年11月14日

風險: 中度風險

類型: 用戶端 - 瀏覽器

於微軟 Edge 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發阻斷服務狀況及遠端執行任意程式碼。

影響

  • 遠端執行程式碼
  • 阻斷服務

受影響之系統或技術

  • Microsoft Edge 142.0.3595.80 之前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

安裝軟件供應商提供的修補程式:

  • 更新至 142.0.3595.80 或之後版本

漏洞識別碼

資料來源

相關連結

沒有留言:

Microsoft Edge Remote Code Execution Vulnerability

Microsoft Edge Remote Code Execution Vulnerability

Release Date: 14 Nov 2025

RISK: Medium Risk

TYPE: Clients - Browsers

A vulnerability was identified in Microsoft Edge. A remote attacker could exploit this vulnerability to trigger denial of service condition and remote code execution on the targeted system.

Impact

  • Remote Code Execution
  • Denial of Service

System / Technologies affected

  • Microsoft Edge version prior to 142.0.3595.80

Solutions

Before installation of the software, please visit the software vendor web-site for more details.

Apply fixes issued by the vendor:

  • Update to version 142.0.3595.80 or later

Vulnerability Identifier

Source

Related Link

沒有留言:

釣魚警報 - 提防要求提供個人資訊的「電子交通告票平台」及「HKeToll易通行」網站

釣魚警報 - 提防要求提供個人資訊的「電子交通告票平台」及「HKeToll易通行」網站

發佈日期: 2025年11月14日

網絡釣魚警告

現況及相關趨勢

近日,mickmick.net 發現有騙徒設立釣魚網站,假扮政府平台,包括「電子交通告票平台」及「HKeToll易通行」。這些釣魚網站採用與官方網站外觀相似的頁面,令市民誤以為是合法平台,誘騙用戶輸入個人資料及信用卡資訊。

 

請注意政府平台官方網站域名必須以 .gov.hk 結尾:

 

以下是近期 mickmick.net 報告的釣魚網址的例子:

假冒「電子交通告票平台」:

  • 用戶點擊詐騙網站後,會跳轉至假冒「核實/繳付告票」頁面。
  • 輸入車輛號碼並點擊「核實/繳付」後,下一頁顯示罰款金額。
  • 點擊「支付」後,用戶被要求輸入銀行卡號、持卡人姓名、到期日期及安全碼(CVV),從而竊取信用卡資料。

 

假冒「HKeToll易通行」網站:

 



  • 用戶點擊詐騙網站後,出現假冒登入介面(上述為近期收到報告的兩種假冒網站版本)。
     

  • 輸入車牌號碼或電郵/電話後,下一頁顯示應付金額。點擊「支付」後,用戶被要求輸入銀行卡號、持卡人姓名、到期日期及安全碼(CVV),從而竊取信用卡資料。
     

mickmick.net 呼籲公眾提高網絡安全意識,並採取以下措施防範假冒網站:

  • 若曾向上述假冒網站提供個人資料:請致電香港警務處反詐騙協調中心「防騙易18222」熱線向警方求助。

  • 如對「電子交通告票平台」有任何查詢,可致電181 181。

  • 如對「HKeToll易通行」有任何查詢,可致電3853 7333。

  • 檢查網址:釣魚網站的網址通常與真實網站相似,但會有細微的差別,如拼寫錯誤或使用不同的域名。用戶應仔細檢查網址,確保其正確無誤。
  • 避免點擊不明連結:不要隨意點擊來自不明來源的連結,尤其是在電子郵件或社交媒體上收到的連結。同時避免登入不明網站或提供個人資料。
  • 注意安全證書:雖然釣魚網站也可以使用 HTTPS 協定,但用戶仍應檢查瀏覽器地址欄中的安全鎖標誌,並確保證書信息與網站匹配
  • 留意可疑內容:釣魚網站可能會包含拼寫錯誤、語法錯誤或不一致的設計元素。這些都是潛在的警示信號。
  • 使用反釣魚工具:可利用「CyberDefender 守網者」的「防騙視伏器」,通過檢查網址和IP地址等,來辨識詐騙及網絡陷阱。
  • 在裝置上啟用垃圾短訊攔截:
    對於 Android 手機,前往「設定」 > 「垃圾短訊辨識」。
    對於 IOS 手機,前往「設定」>「訊息」>「未知郵件和垃圾郵件」。
  • 定期更新軟件:確保操作系統和應用程序保持最新,以防止已知漏洞被利用。
  • 啟用多因素認證:為重要賬號啟用多因素認證,以增加額外的安全層。
  • 教育和培訓:企業應定期為員工提供網絡安全培訓,提高他們的防範意識。
  • 監控賬戶活動:定期檢查銀行賬戶和其他重要賬號的活動,及早發現可疑行為。
  • 備份重要數據:定期備份重要數據,以防止因釣魚攻擊或其他網絡威脅造成的數據丟失。
沒有留言:

Phishing Alert - Beware of Fake "eTraffic Ticket Platform" and "HKeToll" Websites Requesting Personal Information

Phishing Alert - Beware of Fake "eTraffic Ticket Platform" and "HKeToll" Websites Requesting Personal Information

Release Date: 14 Nov 2025

Phishing Alert

Current Status and Related Trends

Recently, mickmick.net has identified phishing websites impersonating government platforms, including the eTraffic Ticket Platform and HKeToll. These phishing websites use pages that closely resemble official websites, tricking citizens into believing they are legitimate platforms and deceiving users into entering personal information and credit card details.
 

Important: Official Government Website Domains Must End with .gov.hk

  • HKeToll Official Website:  https://www.hketoll.gov.hk 
  • eTraffic Ticket Platform Official Website:  https://www.etrafficticket.gov.hk(All electronic Fixed Penalty Notices "FPNs" SMS messages will only be issued from "#HKPF-eTT". Please note that the FPNs, whether issued via SMS messages or email, will never contain any hyperlinks.)

 

The following is recent examples of phishing URLs reported by mickmick.net:

Fake eTraffic Ticket Platform:

  • After clicking the phishing link, users are redirected to a counterfeit “Verify/Pay Ticket” page.
  • Users enter their vehicle number and click “Verify/Pay,” then see a fake fine amount.
  • Clicking “Pay” leads to a page requesting credit card number, cardholder name, expiry date, and CVV, enabling scammers to steal financial information.

 

Fake HKeToll Website:

 

  • After clicking the phishing link, users see a fake login page (two versions have been reported recently).

 

  • Users enter their vehicle registration mark or email/phone number, then see a payment amount. Clicking “Pay” prompts users to enter credit card details (number, name, expiry date, CVV), which are then stolen.

 

mickmick.net urges the public to increase their awareness of cybersecurity and recommends that Internet users should:

  • If you have provided personal information to these websites, call 18222 to contact the Anti-Deception Coordination Centre of the Hong Kong Police Force.
  • For inquiries about the eTraffic Ticket Platform, call 181 181.
  • For inquiries about HKeToll, call 3853 7333.
  • Check the URL: The URL of a phishing website is usually similar to the real website, but there will be slight differences, such as misspellings or using a different domain name. Users should double check the URL to ensure it is correct.
  • Avoid clicking on unknown links: Don’t click on random links from unknown sources, especially links you receive in email or on social media. Do not log in to unknown websites, or provide personal information.  
  • Pay attention to security certificates: Although phishing websites can also use the HTTPS protocol, users should still check the security lock symbol in the browser address bar and ensure that the certificate information matches the website.
  • Watch out for suspicious content: Phishing websites may contain misspellings, grammatical errors, or inconsistent design elements. These are potential warning signs.
  • Use anti-phishing tools: Use the free search engine “Scameter” of Cyberdefender.hk to identify fraud and network traps by checking website addresses and IP addresses.
  • Implement SMS spam blocking on devices: 
    for Android phone, go to Settings > SMS Spam Recognition.
    for IOS phone, go to Settings > Messages > Unknown & Spam.
  • Update software regularly: Ensure operating systems and applications are kept up to date to prevent known vulnerabilities from being exploited.
  • Enable multi-factor authentication: Enable multi-factor authentication for important accounts to add an extra layer of security.
  • Education and training: Companies should provide regular cybersecurity training to employees to improve their awareness of prevention.
  • Monitor account activity: Regularly check the activity of bank accounts and other important accounts to detect suspicious behavior early.
  • Back up important data: Back up important data regularly to prevent data loss due to phishing attacks or other cyber threats.
沒有留言:

2025年11月13日星期四

Apache OpenOffice 多個漏洞

Apache OpenOffice 多個漏洞

發佈日期: 2025年11月13日

風險: 中度風險

類型: 用戶端 - 辦公室應用

於Apache OpenOffice 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、彷冒及洩露敏感資料。

影響

  • 阻斷服務
  • 仿冒
  • 資料洩露

受影響之系統或技術

  • Apache OpenOffice 4.1.16 以前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式:

漏洞識別碼

資料來源

相關連結

沒有留言:

Apache OpenOffice Multiple Vulnerabilities

Apache OpenOffice Multiple Vulnerabilities

Release Date: 13 Nov 2025

RISK: Medium Risk

TYPE: Clients - Productivity Products

Multiple vulnerabilities were identified in Apache OpenOffice. A remote attacker could exploit some of these vulnerabilities to trigger denial of service condition, spoofing and sensitive information disclosure on the targeted system.

Impact

  • Denial of Service
  • Spoofing
  • Information Disclosure

System / Technologies affected

  • Apache OpenOffice versions prior to 4.1.16

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor:

Vulnerability Identifier

Source

Related Link

沒有留言:

ChromeOS 多個漏洞

ChromeOS 多個漏洞

發佈日期: 2025年11月13日

風險: 中度風險

類型: 用戶端 - 瀏覽器

於 ChromeOS 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發繞過保安限制、遠端執行任意程式碼、阻斷服務狀況及敏感資料洩露。

影響

  • 遠端執行程式碼
  • 阻斷服務
  • 資料洩露
  • 繞過保安限制

受影響之系統或技術

  • ChromeOS 16433.41.0 (瀏覽器版本 142.0.7444.147) 之前的版本

解決方案

在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。

 

安裝供應商提供的修補程式,詳情請參閱以下連結:

漏洞識別碼

資料來源

相關連結

沒有留言:

ChromeOS Multiple Vulnerabilities

ChromeOS Multiple Vulnerabilities

Release Date: 13 Nov 2025

RISK: Medium Risk

TYPE: Clients - Browsers

Multiple vulnerabilities were identified in ChromeOS. A remote attacker could exploit some of these vulnerabilities to trigger security restriction bypass, remote code execution, denial of service condition and sensitive information disclosure on the targeted system.

Impact

  • Remote Code Execution
  • Denial of Service
  • Information Disclosure
  • Security Restriction Bypass

System / Technologies affected

  • ChromeOS versions prior to 16433.41.0 (Browser version 142.0.7444.147)

Solutions

Before installation of the software, please visit the vendor web-site for more details.

 

Apply fixes issued by the vendor. For detail, please refer to the link below:

Vulnerability Identifier

Source

Related Link

沒有留言:
訂閱: 留言 (Atom)

Microsoft Edge 多個漏洞

Microsoft Edge 多個漏洞 發佈日期: 2025年12月12日 風險: 中度風險 類型: 用戶端 - 瀏覽器 於 Microsoft...