07
2025 - 03
【漏洞通告】盘点近日重点漏洞
来源:未知
欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒,帮助您更好地保护自己和企业。
在这里,您将了解到各种网络安全问题,并获得专业人士的建议和指导。无论是针对个人还是企业,我们都有适合您的解决方案。
感谢您的关注,安洽科技您身边的安全专家!
Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。
【漏洞编号】:CNVD-2025-04094
【漏洞等级】:高危
【影响版本】:
Ollama所有版本(未设置访问认证的情况下)
【修复建议】:
请使用Ollama部署大模型的单位和用户立即采取以下措施进行漏洞修复:
1、若Ollama只提供本地服务,设置环境变量Environment="OLLAMA_HOST=127.0.0.1",仅允许本地访问。
2、若Ollama需提供公网服务,选择以下方法添加认证机制:
1)修改config.yaml、settings.json 配置文件,限定可访问Ollama 服务的IP地址;
2)通过防火墙等设备配置IP白名单,阻止非授权IP的访问请求;
3)通过反向代理进行身份验证和授权(如使用OAuth2.0协议),防止未经授权用户访问。
SAP NetWeaver Application Server Java跨站脚本
SAP NetWeaver Application Server Java是德国思爱普(SAP)公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。
SAP NetWeaver Application Server Java存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。
【漏洞编号】:CVE-2025-0054
【漏洞等级】:中危
【影响版本】:
SAP SAP NetWeaver Application Server Java null
【修复建议】:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2025.html
Mozilla Firefox存在内存破坏漏洞,远程攻击者可利用该漏洞提交特殊的Web请求,诱使用户解析,可以应用程序上下文执行任意代码。
【漏洞编号】:CVE-2025-1020
【漏洞等级】:高危
【影响版本】:
Mozilla Firefox <135.0
Mozilla Thunderbird >=131.0,<135.0
【修复建议】:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/
IBM Security Directory Integrator操作系统命令注入
IBM Security Directory Integrator存在操作系统命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。
【漏洞编号】:CVE-2024-28767
【漏洞等级】:高危
【影响版本】:
IBM IBM Security Directory Integrator >=7.2.0,<=7.2.0.13
IBM IBM Security Directory Integrator >=10.0.0,<=10.0.3
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.ibm.com/support/pages/node/7179558
联系电话:400-006-9660
联系邮箱:service@anqia.com
公司地址:山西综改示范区太原学府园区东渠路西二巷6号智创城A座1711室
