清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3MDgyMzkwOA==&mid=2247491765&idx=1&sn=02f7da27dfc96cfe1374df1897c3676a

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

清源社区 安势信息 2025-07-15 00:30

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

扫码进群:获取每日最新漏洞和投毒情报推送

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

图片

清源SCA开源版交流群

2025年07月14日新增漏洞相关情报

CVE未收录高危漏洞提早感知:0

CVE热点漏洞精选:2

投毒情报:0

新增CVE 情报

  1. LB-LINK路由器Web接口认证不当导致未经授权的远程重启/恢复

漏洞描述

漏洞编号:CVE-2025-7574

发布时间:2025年07月14日

CVSS 评分为 9.8(超危)

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2025-7574

在LB-LINK BL-AC1900、BL-AC2100_AZ3、BL-AC3600、BL-AX1800、BL-AX5400P 和 BL-WR9000 等多款路由器设备中(版本号至 20250702),其 Web 接口 组件下的 /cgi-bin/lighttpd.cgi 文件 reboot/restore 功能因认证机制缺失(CWE-287),存在 远程未经验证的权限提升 漏洞。攻击者可通过构造恶意请求直接调用重启/恢复出厂设置接口,绕过身份验证流程,实现对设备的非授权控制。

漏洞影响上述全部未修复版本的路由器设备,攻击者无需登录即可远程触发。通过劫持管理级操作,可导致设备强制重置或长期驻留后门配置。

组件描述

LB-LINK 路由器系列产品广泛应用于家庭及企业网络环境,其 Web 接口负责核心运维功能(如系统复位、备份还原)。

潜在风险

  • 设备所有权转移:攻击者可在无需凭证的情况下重置设备,植入恶意固件或篡改网络策略

  • 业务中断:频繁重启服务可引发 DoS 攻击,破坏网络可用性

  • 横向渗透起点:受控设备将成为内网进一步渗透的跳板节点

修复建议

  1. 立即禁用默认 CGI 接口:通过修改 /etc/lighttpd.conf 注释掉 cgi.assign 规则

  2. 部署 ACL 过滤规则:仅允许本地回环地址(127.0.0.1)访问 /cgi-bin/* 资源

  3. 启用 HTTPS 强制校验:结合 Let’s Encrypt 证书实施双向 TLS 认证

  4. 监控异常 API 请求:通过 Snort/NIDS 检测异常 POST 请求头中的 reboot 字段

  5. iSherlock OS命令注入漏洞导致远程代码执行

漏洞描述

漏洞编号:CVE-2025-7451

发布时间:2025年07月14日

CVSS 评分为 9.8(超危)

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2025-7451

在Hgiga开发的iSherlock组件中,因未充分过滤输入参数中的特殊字符,存在 OS命令注入 (CWE-78) 安全缺陷。攻击者可通过构造包含恶意命令的请求,在无需身份验证的情况下直接注入并执行任意操作系统命令。

漏洞影响所有未应用官方补丁的iSherlock部署环境,攻击者仅需发送精心设计的HTTP请求即可实现远程代码执行,全程无需用户交互且突破网络边界限制。

组件描述

iSherlock是一款由Hgiga公司研发的网络安全分析工具,用于检测和响应高级持续性威胁(APT)。其核心功能依赖于动态解析外部输入参数以触发系统级操作。

潜在风险

全面渗透:攻击者可读取敏感文件、修改系统配置甚至植入持久化后门

权限滥用:若服务器以高权限运行,可能导致企业内网横向渗透

供应链污染:攻击者可篡改软件签名或植入恶意模块传播漏洞

修复建议

  1. 即刻访问供应商官网获取最新补丁包进行紧急修复

  2. 在应用层实施严格的输入白名单策略及命令拼接校验

  3. 启用最小权限原则,禁止iSherlock以root/Administrator账户运行

  4. 使用WAF规则拦截|, ;, $()等命令注入特征符

  5. 开启系统审计日志并设置异常命令执行告警阈值

扫码进群:获取每日最新漏洞和投毒情报推送

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

图片

清源SCA开源版交流群

开源安全,始于清源。让我们共同守护代码基石,释放开源生态的真正潜力!

关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以AI、多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清源SCA开源版、清正CleanBinary (二进制代码扫描)、清流PureStream(AI风险治理平台)、清本CleanCode SAST(企业级白盒静态代码扫描)、可信开源软件服务平台、开源治理服务等产品和解决方案,覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体&软件、金融等多元化场景的软件供应链安全治理最佳实践。

欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 [email protected]垂询。

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年07月14日

点击蓝字 关注我们