关键信息 漏洞概述 漏洞编号: SSA-517338 影响产品: SINEC Traffic Analyzer 受影响版本: V3.0 之前版本 CVSS v3.1 基础评分: 7.8 CVSS v4.0 基础评分: 8.8 影响的产品和版本 受影响产品和版本: SINEC Traffic Analyzer (KGS96822-USG01-USG01) 修复措施: 更新到最新版本 漏洞描述 1. CVE-2024-24809 - 描述: 当 NGINX Plus 或 NGINX OSS 配置为使用 HTTP/3 QUIC 模块时,未公开的请求可能导致 NGINX 工作进程终止。 - CVSS v3.1 基础评分: 7.5 - CVSS v4.0 基础评分: 7.5 2. CVE-2024-24990 - 描述: 当 NGINX Plus 或 NGINX OSS 配置为使用 HTTP/3 QUIC 模块时,未公开的请求可能导致 NGINX 工作进程终止。 - CVSS v3.1 基础评分: 7.5 - CVSS v4.0 基础评分: 7.5 3. CVE-2025-40766 - 描述: 受影响的应用程序在没有足够的资源和安全限制的情况下运行 Docker 容器,允许攻击者执行拒绝服务(DoS)攻击。 - CVSS v3.1 基础评分: 6.8 - CVSS v4.0 基础评分: 6.8 4. CVE-2025-40767 - 描述: 受影响的应用程序在没有足够的安全控制来强制隔离的情况下运行 Docker 容器,允许攻击者获得提升的访问权限,可能访问敏感的主机资源。 - CVSS v3.1 基础评分: 7.8 - CVSS v4.0 基础评分: 7.8 5. CVE-2025-40768 - 描述: 受影响的应用程序暴露了一个内部服务端口,可以从外部访问。这可能允许未经授权的攻击者访问应用程序。 - CVSS v3.1 基础评分: 7.3 - CVSS v4.0 基础评分: 7.3 6. CVE-2025-40769 - 描述: 受影响的应用程序使用了 Content Security Policy,允许不安全的脚本执行方法。这可能允许攻击者执行未经授权的脚本,潜在地导致跨站脚本攻击。 - CVSS v3.1 基础评分: 7.4 - CVSS v4.0 基础评分: 7.5 7. CVE-2025-40770 - 描述: 受影响的应用程序使用了一个监控接口,该接口没有以静默被动模式运行。这可能允许攻击者与接口交互,导致中间人攻击。 - CVSS v3.1 基础评分: 7.4 - CVSS v4.0 基础评分: 7.4