通知编号
:
Maginfra-SP-2026002
漏洞信息来源
:
AMD官网公告
首次发布日期
:
2026-04-15
漏洞影响
:
信息泄露、任意代码执行
最后修订日期
:
2026-04-15
危害等级
:
中危
漏洞概述CVE-2025-29934:
部分AMD CPU中存在的一个缺陷,可能允许拥有本地管理员权限的攻击者使用过期的 TLB 条目运行 SEV-SNP 访客虚拟机,从而可能导致数据完整性丧失。
CVE-2025-29943:
AMD CPU内部的访问控制不当可能允许拥有管理员权限的攻击者修改CPU流水线配置,从而可能导致SEV-SNP访客虚拟机内的栈指针损坏。
CVE-2025-0033:
AMD SEV-SNP内部的访问控制不当可能允许拥有管理员权限的攻击者在SNP初始化期间写入 RMP(反向映射表),从而可能导致SEV-SNP访客虚拟机内存完整性丧失。
CVE-2025-29939:
AMD 安全加密虚拟化 (SEV) 中的访问控制不当可能允许特权攻击者在安全嵌套分页 (SNP) 初始化期间写入反向映射页 (RMP),从而可能导致访客虚拟机内存的机密性和完整性丧失。
CVE-2024-36355:
系统管理模式 (SMM) 处理程序中的输入验证不当,可能允许拥有Ring0权限的攻击者写入系统管理随机存取存储器 (SMRAM),并修改 S3(睡眠)唤醒时的执行流程,从而导致任意代码执行。
CVSS评分CVE | CVSS Base Score | CVSS Vector |
CVE-2025-29934 | 5.3 | AV:L/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-29943 | 3.2 | AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N |
CVE-2025-0033 | 6.0 | AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
CVE-2025-29939 | 6.0 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
CVE-2024-36355 | 4.1 | AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N |
漏洞影响范围机型 | 受影响版本 |
QR8128D2 | QR8128D2_BIOS_02.00.00之前版本 |
QR8228D2 | QR8228D2_BIOS_07.00.00之前版本 |
QR8218D2 | QR8218D2_BIOS_07.00.00之前版本 |
漏洞技术细节无
漏洞解决方案下载对应产品型号的BIOS修复版本,执行升级BIOS操作,重启系统后生效。
参考链接https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3023.html
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3027.html
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3020.html
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3029.html
常见问题解答无
更新记录V1.0:新建
产品安全支持服务公司一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈产品安全问题: https://www.maginfra.com/support/vulnerability-response/index.html
获取技术支持:https://maginfra.bangwo8.com/osp2016/im/pc/index.php?entryId=Y341A6&hideheader=1&uid=
声明至索Maginfra(指山东至索信息科技有限公司,以下简称“至索Maginfra”)发布上述公告,以便至索Maginfra产品的用户注意到重要的安全信息。至索Maginfra不保证此信息在所有本地安装和单个使用情况下都准确或完整,因此,至索Maginfra建议用户确定此信息在自身情形下的适用性,并采取相应的措施。
此处列出的信息按“原样”提供,不含任何形式的担保。列出的信息如有变更,恕不另行通知。在法律允许的范围内,至索Maginfra不会明确声明任何明示或默示的担保,包括对特定商品的适销性、特定用途的适用性、所有权及不侵权。在法律允许的范围内,至索Maginfra及其关联公司、分包商或供应商均不对公告中所包含的信息或与此相关的任何损害承担任何责任,亦不对用户决定据此采取的措施而导致的任何直接、间接、偶然、必然、附带、惩罚性或特殊损害(包括但不限于商业利润损失、业务中断、数据丢失或其他商业损害等)承担责任。
