原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3MDgyMzkwOA==&mid=2247491740&idx=1&sn=37e62d91d022d1f13d20907fdef46825

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月11~13日

清源社区 安势信息 2025-07-14 05:30

扫码进群：获取每日最新漏洞和投毒情报推送

清源SCA开源版交流群

2025年07月11~13日新增漏洞相关情报

CVE未收录高危漏洞提早感知：2

CVE热点漏洞精选：3

投毒情报：1

漏洞提早感知（CVE暂未收录）

1. jshERP IDOR漏洞允许远程越权删除账号导致系统完整性与可用性受损

漏洞描述

攻击者可利用未经适当授权认证的/jshERP-boot/user/delete端点，通过修改URL参数，直接删除任意用户账户，该漏洞源于缺乏动态上下文绑定的身份验证机制，配合缺失的CSRF令牌与API调用频率监控攻击链，具备网络可达性特征，仅需构造恶意HTTP请求即可达成大规模账户清除行为，受控系统将面临数据完整性破坏，及服务中断双重威胁。

组件描述

jshERP是一款面向企业级用户管理的企业资源计划(ERP)，系统核心组件其架构依赖于RESTful API，它实现多功能协作、支持多角色权限配置、旨在优化组织内部资源调度与流程自动化。

漏洞详情

漏洞威胁性评级： 8.0 (高危)

漏洞类型： IDOR (CWE-639)

受影响组件仓库地址： https：//github.com/jishenghua/jshERP

Star数： 3708

修复建议

强化接口级鉴权。

1. bitchat组件存在重放攻击风险

漏洞描述

漏洞利用依赖网络边界内的批量消息伪造攻击，攻击者可在过滤器重置窗口期内截取合法消息流并延迟重传。具体而言：当布隆过滤器执行全量清除后，原本已被标记为接收过的消息将重新进入处理队列，触发二次业务流程执行。此行为虽不直接影响机密性和可用性指标，但使消息的原子性操作失效，进而可能导致双花攻击等严重业务异常。

组件描述

bitchat作为基于区块链的消息传递框架，其核心功能通过分布式账本维护消息一致性与不可篡改性。系统采用布隆过滤器实现消息去重校验，但其周期性全局重置机制导致历史消息状态丢失，破坏了持续性去重能力。

漏洞详情

漏洞威胁性评级： 8.1 (高危)

漏洞类型： Replay Attack (CWE-294)

受影响组件仓库地址： https：//github.com/permissionlesstech/bitchat

Star数： 17110

修复建议

推荐废弃周期性重置策略，改为基于时间衰减因子的状态管理方案。

代码层面应将布隆过滤器替换为支持渐进式元素回收的数据结构。

新增CVE 情报

1. Wing FTP S
   erver NULL字节注入导致远
   程代码执行

漏洞描述

漏洞编号：CVE-2025-47812

发布时间：2025年07月11日

CVSS 评分为 10.0（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-47812

在Wing FTP Server 7.4.3及以前版本中，Web管理界面与用户接口对’\0’字节处理不当，存在空字节注入（CWE-158）安全缺陷。攻击者通过构造含NULL字节的特殊用户名参数，在认证过程中将恶意Lua代码注入会话文件，最终实现任意系统命令执行。该漏洞无需用户凭证验证即可触发，甚至可通过匿名FTP账户完成攻击链，导致服务器完全沦陷。

漏洞影响所有未升级至7.4.4版本的Wing FTP Server部署实例，包含Linux与Windows平台。攻击者可远程发送精心设计的POST请求直接突破防御体系，利用条件无需用户交互且具备横向渗透能力。

组件描述

Wing FTP Server是一款跨平台的开源FTP服务器解决方案，广泛应用于企业文件传输与存储架构。其核心功能包括Web管理面板、多协议兼容支持以及自定义脚本扩展机制。

潜在风险

权限继承风险：默认以root或SYSTEM权限运行的服务被攻破后，攻击者可获取操作系统最高控制权

数据资产失控：敏感配置文件、加密证书及业务数据库面临泄露风险

供应链污染：受控服务器可作为跳板实施内部网络横向移动攻击（T1083/T1074）

持久化驻留：通过修改启动项、计划任务等方式建立隐蔽后门

修复建议

1. 立即升级 至官方修复版本7.4.4，下载地址：https：//www.wftpserver.com/downloads

2. 关闭非必要匿名访问权限，强化账号密码策略

3. 在防火墙层面限制FTP端口对外暴露范围

4. 启用系统级审计日志记录，监测异常Lua脚本执行事件

5. 使用应用白名单工具（AppLocker/Selinux）约束FTP服务二进制文件权限

6. Web界面HTTP命
   令注入漏洞导致远程
   代码执行

漏洞描述

漏洞编号：CVE-2025-50121

发布时间：2025年07月11日

CVSS 评分为 10.0（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-50121

在HTTP网络接口启用状态下，系统Web管理界面因未对文件夹路径参数实施充分过滤，存在 命令注入（CWE-78） 安全缺陷。攻击者可通过构造包含特殊字符的恶意文件夹名，在HTTP请求中注入任意shell命令。该漏洞允许未经认证的远程攻击者通过Web接口直接执行系统级指令，实现对目标系统的完全控制。

漏洞影响所有启用了HTTP网络接口的设备实例，攻击者仅需发送精心设计的HTTP请求即可触发漏洞，无需用户交互且攻击链全程隐蔽。

组件描述

Web界面HTTP接口是某系统用于网络管理的操作面板，默认状态下处于非活跃状态。

潜在风险

全权接管：攻击者可在内核上下文执行任意二进制程序，绕过传统安全防护机制

供应链污染：可通过植入恶意固件持久驻留系统，建立隐蔽后门

服务可用性破坏：可强制重启、卸载关键守护进程，造成业务连续性中断

跨站攻击载体：结合XSS漏洞实现双跳式渗透（T1203），扩大横向移动范围

修复建议

1. 立即停用非必要HTTP服务 – 生产环境中应始终保持HTTP接口关闭（默认配置）

2. 实施网络层ACL策略 – 在防火墙规则中限制外网访问HTTP端口（除非绝对必要）

3. 启用WAF防御规则 – 使用ModSecurity等工具检测异常URI路径模式（如”;”、”`”等危险字符）

4. 日志审计强化 – 对/var/log/access.log等位置实施实时正则匹配告警

5. 固件升级计划 – 关注厂商后续发布的CVSS 10.0修复方案发布通知

6. Liandian IP Camera 默认凭证远程代码执行及提权漏洞

漏洞描述

漏洞编号：CVE-2025-7503

发布时间：2025年07月12日

CVSS 评分为 10.0（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-7503

在深圳联点通信技术有限公司生产的OEM IP摄像头中，其内置的Telnet服务（端口23）存在未文档化的默认凭证漏洞（CWE-798）。受影响固件版本为AppFHE1_V1.0.6.0（内核KerFHE1_PTZ_WIFI_V3.1.1，硬件HwFHE1_WF6_PTZ_WIFI_20201218），默认开启的Telnet服务既不可通过设备Web管理界面也不可在用户手册中被发现或关闭。攻击者仅需通过标准网络连接，即可利用已知默认凭证登录并直接获取设备最高权限Shell访问能力，最终实现远程代码执行与权限提升。

漏洞影响范围涵盖所有部署上述固件版本的Liandian IP Camera设备。攻击者无需额外社会工程学诱导即可发起远程攻击，且攻击过程完全自动化。

组件描述

Liandian IP Camera是一款面向安防领域的嵌入式网络摄像机产品，支持PTZ功能及WiFi无线接入，广泛应用于家庭及中小企业视频监控场景。

潜在风险

权限滥用：攻击者可绕过认证机制，以root权限对设备进行任意文件篡改、敏感数据提取或植入后门程序

设备劫持：通过远程代码注入实现设备逻辑改造，使其沦为僵尸网络节点或窃听工具

供应链污染：若攻击者掌握物理位置权限，可批量感染同型号设备形成横向渗透攻击链

无防护状态：设备缺乏自检机制，漏洞持续暴露于公网可达性风险之中

修复建议

1. 紧急阻断：立即在网络层封锁非授权设备对23/Telnet端口的外部访问

2. 手动加固：尝试通过SSH或其他可信通道修改默认凭证（若设备支持SSH调试接口）

3. 旁路审计：启用防火墙会话日志分析，监测异常根用户登录行为

4. 替代方案：考虑更换具备可信启动机制的工业级安防设备

5. 物理隔离：对于关键区域部署设备，应实施物理访问限制策略

投毒情报

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中tw-core-ui组件的1.0.1版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为5ee3b01d671cf799b0d771b3ca9d4393，

发布日期

2025年07月12日

扫码进群：获取每日最新漏洞和投毒情报推送

清源SCA开源版交流群

---

开源安全，始于清源。让我们共同守护代码基石，释放开源生态的真正潜力！

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商，核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践，以AI、多维探测和底层引擎开发等技术为核心，提供包括清源CleanSource SCA（软件成分分析）、清源SCA开源版、清正CleanBinary (二进制代码扫描)、清流PureStream（AI风险治理平台）、清本CleanCode SAST（企业级白盒静态代码扫描）、可信开源软件服务平台、开源治理服务等产品和解决方案，覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体&软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 [email protected]垂询。

点击蓝字 关注我们