原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3MDgyMzkwOA==&mid=2247491714&idx=1&sn=2703eddc7e90fc058235bae0286ecc9b

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月07日

清源社区 安势信息 2025-07-08 00:01

扫码进群：获取每日最新漏洞和投毒情报推送

清源SCA开源版交流群

2025年07月07日新增漏洞相关情报

CVE未收录高危漏洞提早感知：0

CVE热点漏洞精选：3

投毒情报：0

新增CVE情报

1. JWT工具默认证书利用漏洞导致完全访问权限获取

漏洞描述

漏洞编号：CVE-2025-41672

发布时间：2025年07月07日

CVSS 评分为 10.0（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-41672

在JWT工具中，因默认证书未禁用或硬编码问题（CWE-1188），存在未经授权的认证绕过安全隐患。攻击者可远程利用预置证书生成合法JWT令牌，实现身份伪造并获取工具及所连接设备的完全控制权。

漏洞影响所有依赖该JWT工具进行身份鉴别的物联网/边缘计算系统，攻击者无需用户交互即可通过网络发起攻击，导致设备被横向渗透、数据篡改或敏感信息泄露。

组件描述

JWT工具是一款用于设备间通信的身份验证中间件，通常部署于工业控制系统、智能家居网关或其他分布式架构中，负责颁发和校验JSON Web Token（JWT）。

潜在风险

特权滥用：攻击者可伪装成管理员或高权限角色，修改系统配置或植入后门

设备劫持：通过伪造令牌接管IoT设备，形成僵尸网络或DDoS攻击载体

供应链污染：若工具集成于开发框架，则漏洞可能波及下游应用生态

零日持续攻击：默认证书长期有效特性使攻击具备持久性和隐蔽性

修复建议

1. 立即禁用默认证书，替换为动态生成的自签名证书并定期轮换

2. 启用证书链验证（Certificate Chain Validation）与令牌时效限制（Short-Lived Token）

3. 升级至厂商声明修复后的版本（当前暂无官方补丁披露，请关注供应商公告）

4. 在网络层部署API网关，实施基于IP白名单的访问控制策略

5. 启用日志审计功能，检测异常频率的令牌签发请求（>10次/分钟阈值告警）

6. Nimesa备份注入漏洞允许OS命令注入导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-48501

发布时间：2025年07月07日

CVSS 评分为 9.8（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-48501

在Nimesa Backup and Recovery v2.3 和 v2.4 版本中，由于未对用户输入进行充分验证过滤，存在 OS 命令注入（CWE-78）安全缺陷。攻击者可通过构造包含特殊字符的恶意输入参数，绕过产品防御逻辑直接向操作系统注入任意命令，最终实现对目标服务器的远程控制系统接管。

漏洞影响所有部署了上述受影响版本的服务器环境，无论是否暴露于公网均可成为攻击目标。攻击者仅需通过远程协议发送精心设计的请求包即可完成漏洞利用，整个过程无需用户授权或交互操作。

组件描述

Nimesa Backup and Recovery 是一套企业级数据备份解决方案，支持自动化快照管理及跨平台存储同步功能。

潜在风险

权限继承风险：若服务器以高权限账号运行服务，攻击者可继承该权限实施横向渗透

数据完整性破坏：通过注入rm -rf等危险命令可造成大规模文件擦除或加密勒索

持久化控制：攻击者可植入隐蔽后门维持长期驻留，规避常规检测手段

供应链污染：备份介质若遭篡改可能导致后续恢复流程引入恶意负载

修复建议

1. 立即停止使用受影响的 v2.3/v2.4 版本并切换至官方声明的修复版本

2. 实施最小权限原则，禁止以 root/systemd 等特权身份运行备份服务

3. 在应用层前置WAF规则，严格限制备份参数中特殊字符的传输白名单

4. 启用系统审计模块(sysdig/auditd)，监控/bin/sh等关键路径的异常调用栈

5. 服务远程代码执行漏洞导致任意代码执行

漏洞描述

漏洞编号：CVE-2025-5333

发布时间：2025年07月06日

CVSS 评分为 9.5（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-5333

在受影响的服务进程中，因逻辑校验不足存在 远程代码执行（CWE-未知） 安全缺陷。攻击者可通过网络发送精心构造的请求，利用漏洞在目标进程上下文中执行任意代码。

漏洞影响所有部署该服务的主机及关联业务系统。攻击者仅需建立网络连接并发送恶意数据包即可实现代码注入，最终导致服务崩溃、敏感数据泄露或系统权限劫持。

组件描述

服务是核心基础架构组件之一，负责处理关键业务流程的协议解析与状态维护。

潜在风险

权限横向渗透：若服务以高权限运行，攻击者可借此提权至系统级权限

数据完整性破坏：攻击者可篡改存储内容、伪造系统日志或植入后门程序

供应链污染：中间人攻击可能通过服务组件污染依赖链传播恶意负载

无人值守型攻击：自动化工具可批量扫描暴露端口进行持续性入侵

修复建议

1. 即刻部署官方发布的安全补丁（待公告），优先更新生产环境实例

2. 实施最小特权原则，限制服务运行时的操作系统权限

3. 在网络层配置深度防御策略，包括WAF规则拦截异常请求特征

4. 启用进程级HIPS保护，监控可疑的动态库加载与文件写入行为

5. 对历史备份数据实施数字签名验证，防止供应链污染

---

扫码进群：获取每日最新漏洞和投毒情报推送

清源SCA开源版交流群

---

开源安全，始于清源。让我们共同守护代码基石，释放开源生态的真正潜力！

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商，核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践，以AI、多维探测和底层引擎开发等技术为核心，提供包括清源CleanSource SCA（软件成分分析）、清源SCA开源版、清正CleanBinary (二进制代码扫描)、清流PureStream（AI风险治理平台）、清本CleanCode SAST（企业级白盒静态代码扫描）、可信开源软件服务平台、开源治理服务等产品和解决方案，覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体&软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 [email protected]垂询。

点击蓝字 关注我们