清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3MDgyMzkwOA==&mid=2247491712&idx=1&sn=e2d5206def5474dacc15a2dd6c6969cc

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

清源社区 安势信息 2025-07-07 07:17

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

扫码进群:获取每日最新漏洞和投毒情报推送

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

图片

清源SCA开源版交流群

2025年07月04~06日新增漏洞相关情报

CVE未收录高危漏洞提早感知:1

CVE热点漏洞精选:3

投毒情报:16

漏洞提早感知(CVE暂未收录)

  1. noobgg竞态条件漏洞允许远程攻击者篡改数据

漏洞描述

漏洞本质源于主观并发控制缺失,攻击者可通过构造平行HTTP请求流穿透API网关,绕过原子操作序列化验证流程。当多个未经验证的更新请求同时命中相同资源标识符时,后置请求会覆盖先决变更,形成最终一致性断裂。此类攻击无需身份凭证即可发动,通过协程注入或批量爬虫工具实现自动化渗透,最终造成数据库记录丢失、交易流水错乱等不可逆后果,严重破坏数据完整性基线。

组件描述

noobgg作为分布式系统的资源管理组件,承担多线程并发请求的协调职责。其核心功能依赖于异步任务调度架构,采用共享内存模型提升访问效率。

漏洞详情

漏洞威胁性评级: 8.1 (超危)

漏洞类型: Race Condition (CWE-362)

受影响组件仓库地址: https://github.com/noobgg-team/noobgg

Star数: 132

修复建议

实施更主动的控制模式

新增CVE 情报

  1. Easy Stripe代码注入漏洞允许远程代码执行

漏洞描述

漏洞编号:CVE-2025-49302

发布时间:2025年07月04日

CVSS 评分为 10.0(超危)

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2025-49302

在 Scott Paterson Easy Stripe 的 1.1 及之前版本中,因未充分校验用户输入的代码生成逻辑,存在 代码注入(CWE-94) 安全缺陷。攻击者可通过构造包含恶意脚本片段的请求参数,诱使服务器解析并执行远程控制代码,实现对目标系统的完全控制。

漏洞影响所有部署 Easy Stripe 1.1 及更低版本的应用场景,尤其是处理用户可控输入的接口层。攻击者无需身份认证,仅需通过 HTTP 请求传递特制代码负载,即可绕过常规防护机制触发漏洞。

组件描述

Easy Stripe 是一个基于 PHP 开发的开源支付网关集成工具,广泛应用于 Stripe API 接入场景。

潜在风险

权限继承风险:若应用以高权限进程运行,攻击者可直接获取同级权限

横向渗透能力:成功利用后可作为跳板攻击内网资源,形成持续性威胁(T1074)

数据完整性破坏:攻击者可通过代码注入篡改数据库连接配置或植入持久化后门

业务连续性中断:恶意代码可能终止合法服务进程,造成 DDoS 攻击效果

修复建议

  1. 即刻停止使用 Easy Stripe 1.1 以下版本,并升级至厂商官方声明的修复版本

  2. 实施最小权限原则,禁止以 root/Administrator 权限运行支付模块

  3. 在反向代理层部署正则表达式过滤规则,阻断含 eval()、assert() 等危险函数的请求

  4. 启用 WAF 的代码注入检测规则集,优先匹配常见编码混淆特征(十六进制/BASE64)

  5. FW Gallery 危险类型文件上传漏洞导致恶意文件利用

漏洞描述

漏洞编号:CVE-2025-49414

发布时间:2025年07月04日

CVSS 评分为 10.0(超危)

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2025-49414

在 Fastw3b LLC 开发的 FW Gallery 插件中,版本从 n/a 至 8.0.0 存在一个关键安全缺陷(CWE-434)。该组件作为 WordPress 内容管理系统插件,负责媒体管理和文件存储功能,但其文件上传逻辑缺乏有效校验机制。攻击者可利用此漏洞上传任意扩展名的恶意文件(如.php/.jsp 可执行脚本),最终实现对目标服务器的持久化控制。

漏洞本质源于上传流程未实施 MIME 类型验证及后缀白名单策略,即使启用了基础文件名过滤机制,仍可通过路径遍历、编码绕过等技巧规避检测。

组件描述

FW Gallery 是专为 WordPress 设计的多媒体资源管理工具,支持多层级目录组织、批量上传及在线编辑功能。该插件广泛应用于企业网站与个人博客的内容发布场景。

潜在风险

横向渗透入口:上传的恶意文件可能成为跳板,进一步攻击底层操作系统(Linux/Windows)及其托管数据库

业务中断威胁:植入后门木马可篡改网站内容、加密敏感数据,甚至发起 DDoS 攻击消耗带宽

零点击利用特性:攻击者仅需诱导用户访问嵌入恶意文件的图片展示页,即可在后台静默完成提权操作

修复建议

  1. 立即回滚版本:确认当前使用的 FW Gallery 是否高于 8.0.0,若无法获取新版本则应临时禁用该插件

  2. 强化文件验证规则:在 web 服务器层面增设 HTAccess 规则,限制非静态资源文件的解析权限(如 deny from all 配置)

  3. 最小化暴露面:关闭不必要的文件预览功能,避免在 public_html 目录外设置上传路径

  4. 建立文件指纹库:通过 md5sum/sha256 校验上传文件完整性,定期比对异常文件签名

  5. 启用 WAF 拦截策略:配置 ModSecurity 规则集,针对 multipart/form-data 请求体进行深度检测

  6. LiquidThemes LogisticsHub 危险文件上传漏洞导致Web Shell植入

漏洞描述

漏洞编号:CVE-2025-30933

发布时间:2025年07月04日

CVSS 评分为 10.0(超危)

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2025-30933

LiquidThemes LogisticsHub 存在一个名为”Unrestricted Upload of File with Dangerous Type”的安全缺陷(CWE-434),其文件上传模块未对用户提交的文件类型实施充分校验。攻击者可通过构造包含PHP/ASP/JSP等可执行脚本的文件绕过检测逻辑,将Web Shell上传至服务器并实现远程代码执行。

组件描述

LiquidThemes LogisticsHub 是一套专为物流行业设计的 WordPress 主题解决方案,集成了订单追踪、库存管理和多语言支持等功能,采用 PHP + MySQL 技术栈构建。

潜在风险

权限接管:成功上传的Web Shell可作为跳板进一步渗透内部网络资源

数据篡改/窃取:攻击者可通过Shell读取数据库凭证、客户隐私等机密信息

持久化驻留:通过定时任务或隐蔽路径建立长期控制通道

供应链污染:若攻击针对托管服务商,可能波及多个使用该主题的企业站点

修复建议

  1. 立即前往 https://logisticshub.liquidthemes.com 获取最新1.1.7补丁包

  2. 启用服务器端文件哈希校验,定期比对上传目录下的文件签名变化

  3. 对现有部署实例执行渗透测试,扫描残留的可疑文件(特征:随机字符串命名+.php/.aspx扩展名组合)

投毒情报

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中oft-evm组件的7.1.1版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为1b49d53f326bba489082ef6838b1003a

发布日期

2025年07月04日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中grafana-lokiexplore-app组件的90.99.99版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为1a7feea04aa47b397420a3f4545d0f4c

发布日期

2025年07月04日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中with-next-intl组件的55.3.56版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为a860f214cdfd460bfe411853a6d0d129

发布日期

2025年07月04日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中mre-config-react组件的1.0.4版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为17a8d4f6679f14f48986900caa782971

发布日期

2025年07月04日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中mre-layout-react组件的2.0.6版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为1d7719be50f37ae9b1cd1bf0b5f4564e

发布日期

2025年07月04日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中old-header-parser组件的90.99.99版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为def9c3d9f8d722df30aa20b369e30169

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件,npm中ai-app-foundation组件的90.99.99版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为a3ecd789521bd191395703535f6506b6,

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中onramp-demo-mobile组件的90.99.99版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为d3ea491e4b6670858105b8a923255d9e

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中graphql-commons组件的40.0.7版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为99fd54008ee178e2a9343be4395c7f42

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中consgraphqlnodeserv组件的1.0.3版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为fa18bee7be0f0780925cd3adb9590abc

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中canonical-bridge-ui组件的1.0.0版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为eceb345fb49284cb3d194f18ccfe34c3

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中auth0-styleguide-website组件的55.3.1版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为54aa02c02dc7d2525fefe02732d8a9f1

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中token-renewal组件的55.3.1版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为8582744912afe074f0e629cd07ffc5b2

发布日期

2025年07月05日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中print-vault-node组件的1.0.0版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为94d287d45091132f2dd2960b93ee89c9

发布日期

2025年07月06日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中pp-react-utils组件的1.0.6版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为5902289d59177eedf08df812393395c6

发布日期

2025年07月06日

  1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中consgraphql组件的40.0.10版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为78e350f4a3ee68951025328687a35c1e

发布日期

2025年07月06日

扫码进群:获取每日最新漏洞和投毒情报推送

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

图片

清源SCA开源版交流群

开源安全,始于清源。让我们共同守护代码基石,释放开源生态的真正潜力!

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以AI、多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清源SCA开源版、清正CleanBinary (二进制代码扫描)、清流PureStream(AI风险治理平台)、清本CleanCode SAST(企业级白盒静态代码扫描)、可信开源软件服务平台、开源治理服务等产品和解决方案,覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体&软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 [email protected]垂询。

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月04~06日

点击蓝字 关注我们