高危漏洞打包兜售，Palo Alto、Fortinet、Linux等关键系统在列

原创 网空闲话 网空闲话plus 2025-06-12 10:23

2025年6月12日 13:27:46，威胁行为者“冰雹”在暗网市场Ramp4u上发布贴文，声称正在兜售一套包含多个高危CVE漏洞的“利用包（exploit pack）”，引发业界警惕。威胁行为者也声称可单独出售，具体要看买家能出多少银子。该漏洞包涉及多个主流系统和平台，包括Linux内核、Palo Alto PAN-OS、Fortinet FortiOS、WordPress插件、Apache Tomcat等，并涵盖本地权限提升（LPE）和远程代码执行（RCE）等严重攻击类型。

综合近期披露的漏洞细节，多个CVE（如CVE-2025-0108、CVE-2024-55591和CVE-2025-20188）已被列入CISA KEV（已知被利用漏洞）目录，部分还出现PoC和在野利用痕迹。尤其Fortinet和Palo Alto产品中存在的认证绕过漏洞，以及Tomcat和Roundcube中的远程执行风险，使得该漏洞包一旦被不当获取，将对全球范围内的防火墙、邮件网关与内容管理系统构成重大威胁。

尽管该事件当前被监测平台定级为“低严重性”，但其潜在影响不容忽视。建议各组织立即评估是否存在相关服务和插件暴露，尽快部署厂商补丁，并重点监控暗网通道中与该漏洞包相关的传播和交易活动。

经整理评估， 这批漏洞中还是有一些重磅级的，CVSS评分9分（有5个）以上。可能对相关设备造成重大危害。

CVE编号	漏洞类型	漏洞描述	影响版本	CVSS评分	在野利用
CVE‑2025‑5287	SQL注入	WordPress “Likes and Dislikes” 插件 post 参数存在未授权 SQL 注入，允许数据窃取	≤ 1.0.0	7.5（High）access.redhat.com+15cvedetails.com+15cvedetails.com+15cisa.gov+1github.com+1	无公开利用报告
CVE‑2025‑20188	任意文件上传 + RCE	Cisco IOS XE 无线控制器 Out-of-Band 功能含硬编码 JWT，允许任意文件上传及路径遍历，触发 Root 权限执行	Catalyst 9800 系列（9800‑CL/嵌入式）启用 OOB Image Download	10.0（Critical）	PoC已释出，CVE收录后确认可利用
CVE‑2025‑49113	PHP 反序列化导致 RCE	Roundcube Webmail _from 参数未过滤，触发 PHP Object Deserialization，可远程执行代码	< 1.5.10, < 1.6.11	9.9（Critical）	已有详实分析，PoC讨论中，但无明确大规模利用
CVE‑2025‑32756	本地凭证恢复	Linux 系统可提取敏感凭证（Johnson Controls 披露）	未详细列出	暂无评分（待 NVD）	无已知利用
CVE‑2024‑12754	本地文件读取	AnyDesk ≤ 8.0.9.0 处理背景图漏洞，可读取任意文件泄露敏感信息	≤ 8.0.9.0	5.5（Medium）	无公开利用记录
CVE‑2025‑24813	路径等价 RCE	Apache Tomcat 路径验证遗漏，可能导致远程代码执行	Tomcat（版本待确认）	初评 5.5，预估可能高达 9.8	PoC已出现，社区广泛关注
CVE‑2025‑33073	信息泄露	Qualcomm ML IE 参数越界读取，可能泄露敏感信息	Qualcomm ML IE	无评分	暂无报告
CVE‑2025‑6235	信息泄露	Citrix NetScaler Console 存在未授权信息泄露	未公开版本	9.4（Critical）	暂无PoC利用
CVE‑2024‑55591	认证绕过	FortiOS/Proxy Node.js WebSocket 验证绕过，获取超级管理员权限	FortiOS 7.0‑7.2.12	9.8（Critical）	被LockBit、SuperBlack 勒索软件利用
CVE‑2025‑0108	认证绕过	PAN‑OS 管理界面绕过，可执行 PHP 脚本修改系统行为	所有本地PAN‑OS型号	9.1（Critical） / 8.8（High）	已被CISA列入KEV，Confirm 利用报告

参考资源：
https://ramp4u.io/threads/sell-exploit-pack.3188/