ZTE GoldenDB DDE注入漏洞

ZTE GoldenDB DDE注入漏洞
ZTE GoldenDB是中国中兴通讯（ZTE）公司的一款金融级交易型分布式数据库。用于金融、政企、电信等行业，提供高可用数据服务。

一、漏洞分析

公开日期：2025-05-29

漏洞编号：CNVD-2025-10855

危害等级：高危

漏洞描述：ZTE GoldenDB存在DDE注入漏洞，攻击者可利用该漏洞通过接口注入DDE表达式，当用户下载并打开受影响的文件时，可以执行DDE命令。二、漏洞影响产品
ZTE ZXCLOUD GoldenDB >=6.1.03，<=6.1.03.10
ZTE ZXCLOUD GoldenDB 7.2.01.01
ZTE ZXCLOUD GoldenDB Lite7.2.01.01

三、漏洞处置建议
厂商已发布了漏洞修复程序，请及时关注更新：
https://support.zte.com.cn/zte-iccp-isupport-webui/bulletin/detail/1036467615091601474