发布日期：2025-11-19
更新日期：2026-01-22

受影响系统：

Progress DataDirect Connect for JDBC
Progress DataDirect Hybrid Data Pipeline Server

描述：

---

CVE(CAN) ID: CVE-2025-10702

Progress Hybrid Data Pipeline等都是美国Progress公司的产品，Progress Hybrid Data Pipeline是一个数据管道软件，Progress Hybrid Data Pipeline Server是一个数据管道服务器，Progress DataDirect Connect for JDBC是一套高性能JDBC驱动程序。
Progress多款产品存在代码注入漏洞，该漏洞源于SpyAttribute连接选项的未公开文档的语法结构，攻击者可利用该漏洞使用此未公开的语法，迫使驱动程序加载类路径上的任意类并执行该类的构造函数。

<**>

建议：

---

厂商补丁：

Progress
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://community.progress.com/s/article/Progress-DataDirect-Critical-Security-Product-Alert-Bulletin-November-2025

浏览次数：41
严重程度：0（网友投票）