雲智維報報

                                           SonicWall 產品存在多個漏洞 一、 摘要           SonicWall 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、洩露敏感資料及資料篡改。

                                          Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞，允許遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行任意程式碼、洩露敏感資料及權限提升。 FortiWeb的漏洞 CVE-2025-58034  正被廣泛利用 並可能允許經過驗證的攻擊者透過精心設計的 HTTP 請求或 CLI 命令在底層系統上執行未經授權的程式碼。

                                         Aruba 產品存在多個漏洞 一、 摘要           Aruba產品存在多個漏洞，允許遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、繞過身份驗證、洩露敏感資料、資料篡改及遠端執行任意程式碼。

                                        Apache OpenOffice 存在多個漏洞 一、 摘要           Apache OpenOffice 存在 多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、彷冒及洩露敏感資料。

                                         Palo Alto PAN-OS 存在阻斷服務狀況漏洞 一、 摘要           Palo Alto PAN-OS 存在一個漏洞，允許遠端攻擊者利用此漏洞，於目標系統觸發阻斷服務狀況。

                                       ASUS 路由器存在繞過身份驗證漏洞 一、 摘要           ASUS 路由器存在一個漏洞，允許遠端攻擊者利用此漏洞，於目標系統觸發繞過身份驗證。

                                      Fortinet FortiWeb 存在遠端執行程式碼漏洞 一、 摘要           Fortinet FortiWeb 存在一個漏洞，允許遠端攻擊者利用此漏洞，於目標系統觸發遠端執行任意程式碼。

                                                                                      間諜軟體LandFall鎖定三星裝置零時差漏洞 一、 摘要            資安業者Palo Alto Networks揭露安卓間諜軟體LandFall的攻擊行動，鎖定伊拉克、伊朗、土耳其，以及摩洛哥等國家而來，過程裡利用三星今年4月修補的手機零時差漏洞CVE-2025-21042。 二 、存在風險            資安業者Palo Alto Networks揭露安卓間諜軟體LandFall的攻擊行動，利用三星今年4月修補的手機零時差漏洞CVE-2025-21042。此間諜軟體具備全面監控的能力，包含麥克風錄音、地理位置追蹤，以及 任意檔案 、聯絡人與通話記錄。            攻擊者透過格式錯誤的數位負片檔案（DNG檔）觸發， 透過「零點擊」（zero-click）方式傳送，利用了三星影像處理庫 （libimagecodec.quram.so）中的漏洞（CVE-2025-21042／SVE-2024-1969），  並在受害裝置植入間諜軟體。而對於間諜軟體的來源，Palo Alto Networks推測，這項威脅與專門開發及販售商業間諜軟體的公司（Private Sector Offensive Actors，PSOA）有關，原因是相關活動與其他中東的商業間諜軟體共用部分基礎設施，但他們無法確認LandFall開發商的身分。     ...

                                                                                                                                                                                                                                                                                     SAP 產品多個漏洞 一、 摘要   ...

                                             Synology 零日遠端執行程式碼漏洞 一、 摘要           Synology 存在漏洞， 遠端攻擊者可利用此漏洞，於目標系統觸發遠端執行任意程式碼。 二 、存在風險        Synology 產品存在漏洞，允許遠端攻擊者利用這個漏洞，於目標系統觸發遠端執行任意程式碼，其影響系統或版本如下： BeeStation OS 1.3 BeeStation OS 1.2 BeeStation OS 1.1 BeeStation OS 1.0 三、建議改善措施：     請將 BeeStation OS 更新至1.3.2-65648或更高版本。          情資報告連結： https://www.synology.com/en-global/security/advisory/Synology_SA_25_12

  QNAP釋出QTS和QuTS多個的漏洞更新 一、 摘要         QNAP於近期釋出QTS和QuTS hero的 漏洞更新，其修補 7 個在國際駭客競賽 Pwn2Own Ireland 2025 中被成功利用的零日漏洞(Zero-Day Vulnerability)，其漏洞允許遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行任意程式碼及權限提升。       二、存在風險          QNAP NAS 於近期釋出QTS和QuTS hero的漏洞更新，此次修補的漏洞涵蓋多個方面，其漏洞允許遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行任意程式碼及權限提升。           作業系統層面，QTS 與 QuTS hero 存在三項漏洞(CVE-2025-62847、CVE-2025-62848、CVE-2025-62849)。           應用程式方面，Hyper Data Protector 資料保護軟體存在 CVE-2025-59389 漏洞、Malware Remover 惡意軟體移除工具存在 CVE-2025-11837 漏洞、HBS 3 Hybrid Backup Sync 混合備份同步軟體則有 CVE-2025-62840 與 CVE-2025-62842 兩項漏洞。 其影響系統或版本如下 ： QTS 5.2.x QuTS hero h5.2.x QuTS hero h5.3.x QuLog Center 1.8.x Qsync Central 5.0.x QuMagie 2.6.x HBS 3 Hybrid Backup Sync 26.1.x Notification Center 1.9.x (for QTS 5.2.x, QuTS hero h5.2.x) Notification Center 2.1.x (for QuTS hero h5.3.x) Notification Center 3.0.x (for QuTS hero h5.6.x, h6.0.x) Fil...

                                       IBM WebSphere 產品存在多個漏洞 一、 摘要           IBM WebSphere 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發洩露敏感資料及繞過身份驗證。

                                      Microsoft Edge 存在多個漏洞 一、 摘要           Microsoft Edge 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發洩露敏感資料、繞過身份驗證、仿冒及遠端執行任意程式碼。

                                      Ubuntu Linux 核心存在多個漏洞 一、 摘要           Ubuntu Linux 核心存在多個漏洞，允許攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料、繞過身份驗證及資料篡改。

                                     VMWare 產品存在多個漏洞 一、 摘要           VMware 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發權限提升、洩露敏感資料及繞過身份驗證。