2025年 第29周 微信公众号精选安全技术文章总览

    洞见网安 2025-7-21

    0x1 TP-Link NVR 安全更新:命令注入漏洞可能导致远程代码执行

    FreeBuf 2025-07-27T18:03:10

    Example Image


    TP-Link近日发布安全公告,指出其VIGI NVR1104H-4P V1和VIGI NVR2016H-16MP V2两款网络视频录像机存在两个命令注入漏洞,分别被标记为CVE-2025-7723和CVE-2025-7724,CVSS评分分别为8.5和8.7。这些漏洞允许攻击者在设备底层操作系统上执行任意命令,包括未经认证的远程代码执行。受影响的设备固件版本分别为早于1.1.5 Build 250518和早于1.3.1 Build 250407。TP-Link已发布修复固件,建议用户升级至最新版本以避免安全风险。

    安全漏洞 命令注入 远程代码执行 固件更新 网络视频录像机(NVR) TP-Link

    0x2 新型AI生成Linux恶意软件Koske现身威胁环境

    FreeBuf 2025-07-27T18:03:10

    Example Image


    本文报道了新型Linux恶意软件Koske的出现,该软件疑似利用人工智能技术进行开发,旨在进行加密货币挖矿活动。Koske通过rootkit技术和多语言图像文件滥用等手段逃避检测。恶意软件通过短链接下载JPEG多语言文件,其中包含恶意代码,可以直接在内存中执行。攻击者利用配置错误的服务器植入后门,并通过隐蔽的shell脚本实现持久化。Koske恶意软件支持挖掘18种加密货币,并能够根据受感染主机的硬件配置自动选择CPU或GPU优化的挖矿程序。报告指出,攻击者可能利用大语言模型(LLM)来提升代码质量,并警告说,AI辅助开发的恶意软件可能带来颠覆性的安全风险。

    AI恶意软件 Linux安全 加密货币挖矿 Rootkit 隐蔽攻击 持久化攻击 自动化攻击 多语言文件滥用 大语言模型(LLM) 网络安全趋势

    0x3 CVE-2025-48957 | AstrBot get_file 文件读取漏洞研究

    404号浪漫 2025-07-26T00:42:44 © 404号浪漫

    Example Image


    AstrBot是一个大型语言模型聊天机器人和开发框架,在2025年7月发布了安全更新公告,披露了CVE-2025-48957文件读取漏洞。该漏洞存在于3.4.4至3.5.12版本中,属于路径遍历漏洞,可能导致敏感信息泄露,如API密钥、账户密码等。漏洞已在Pull Request#1676中修复,并包含在3.5.13版本中。作为临时解决方案,用户可以编辑cmd_config.json文件以禁用仪表盘功能。建议升级到v3.5.13或更高版本以彻底解决此问题。漏洞利用复杂度为极低,攻击者可通过未授权接口读取敏感文件。文章还提供了基于Ubuntu 24+Docker的环境搭建步骤,以及漏洞复现方法,包括使用Xray-xpoc检测和具体的URL构造。漏洞原理分析表明,漏洞位于AstrBot的get_file方法中,通过未经验证的路径拼接导致目录遍历,且该端点无需认证即可访问。修复建议包括立即升级到安全版本或临时禁用仪表盘功能。

    漏洞分析 路径遍历 文件读取 未授权访问 安全更新 临时解决方案 代码审计 Docker部署 漏洞复现

    0x4 身份和访问管理(IAM)

    汤池杂货铺 2025-07-25T18:12:23 © Gundam3389

    Example Image


    身份和访问管理(IAM)读书笔记

    0x5 FeatherScan v4.0:Linux 权限提升与内网探测的国产自动化工具

    FreeBuf 2025-07-24T18:31:10

    Example Image


    FeatherScan v4.0 是一款专为国内用户定制的 Linux 自动化提权与内网信息收集工具,旨在解决传统提权工具输出冗余、执行缓慢、离线功能受限等问题。它集成了 LinPEAS 的信息收集功能、fscan 的内网扫描能力以及自研的痕迹清理系统,支持离线运行、高速执行和全中文输出。FeatherScan 的核心模块包括提权检测、系统信息收集、内网扫描与横向移动、本地服务爆破和安全痕迹清理。提权检测模块可识别 SUID/SGID 文件、可写目录、sudo 规则和内核漏洞(如 DirtyCow、DirtyPipe),并支持离线提权;系统信息收集模块自动收集操作系统、用户权限、网络配置等关键数据;内网扫描模块支持主机发现、端口扫描和服务爆破,并具备横向移动能力;安全痕迹清理模块可一键清除操作痕迹。FeatherScan 采用 asyncio 和线程池实现并发执行,具有高效、稳定、易用等特点,适合红队行动、靶场演练和实际渗透测试场景。

    Linux提权 内网渗透 自动化工具 信息收集 漏洞利用 横向移动 痕迹清理 安全检测

    0x6 开源扫描工具发布:可检测易受零日攻击的SharePoint服务器

    FreeBuf 2025-07-24T18:31:10

    Example Image


    本文介绍了一款开源扫描工具,该工具能够检测SharePoint服务器是否易受CVE-2025-53770关键零日漏洞的攻击。该漏洞允许未认证的远程代码执行,工具通过GitHub托管,旨在帮助组织快速评估其SharePoint基础设施的安全性。工具通过注入无害测试标记来确认漏洞的可利用性,而不会对系统造成损害。该工具由Niels Hofmans发现,针对未安装关键安全更新KB5002768和KB5002754的SharePoint服务器,这些更新修复了CVE-2025-53770漏洞。工具的使用简单,可以通过命令行执行,支持批量扫描多个SharePoint实例。文章还讨论了漏洞的利用机制、风险因素以及缓解措施,强调组织应立即部署此工具评估其SharePoint基础设施,并安装微软安全补丁以修复漏洞。

    开源安全工具 SharePoint 漏洞 零日漏洞 远程代码执行 漏洞扫描 安全补丁 网络安全防御 GitHub

    0x7 JavaScript库高危漏洞致数百万应用面临代码执行攻击风险

    FreeBuf 2025-07-24T18:31:10

    Example Image


    近日,广泛使用的JavaScript库form-data曝出高危安全漏洞(CVE-2025-7783),该漏洞可能导致数百万应用程序面临代码执行攻击风险。漏洞源于form-data库使用可预测的Math.random()函数生成多部分表单编码数据的边界值,攻击者可利用此漏洞操纵HTTP请求,将恶意参数注入后端系统。受影响版本包括2.5.4以下、3.0.0至3.0.3以及4.0.0至4.0.3版本。form-data库已发布补丁,建议用户升级至最新版本以避免风险。该漏洞暴露了JavaScript库中潜在的安全问题,提醒开发者关注并修复类似漏洞。

    JavaScript库漏洞 代码执行攻击 参数注入攻击 安全漏洞利用 安全补丁 应用安全 网络安全事件

    0x8 报告 | Darka5恶意家族样本分析

    中国信息安全 2025-07-24T18:15:26 何承润

    Example Image


    本文详细分析了名为darka5的恶意家族样本。该样本通过IoT设备命令执行漏洞进行传播,具有复杂的网络通信混淆手段和高度的隐蔽性。研究团队发现,darka5样本使用了ChaCha20加密算法,并具备独特的C2连接方式,通过随机选择域名和DNS服务器来增加隐蔽性。样本的下载器行为、数据加密差异、通信流量混淆以及特殊的隐蔽手段都被深入剖析。文章强调了darka5样本的复杂性和分析难度,并提醒网络安全专家和防御者对此新兴安全威胁保持警觉。

    恶意软件分析 IoT安全 加密技术 网络通信混淆 C2通信 沙箱逃避 漏洞利用 网络安全威胁

    0x9 【风险通告】SonicWall SMA 100存在任意文件上传漏洞(CVE-2025-40599)

    安恒信息CERT 2025-07-24T18:02:49

    Example Image


    SonicWall SMA 100系列设备被发现存在一个严重的安全漏洞(CVE-2025-40599),该漏洞允许具有管理员权限的远程攻击者上传任意文件到系统,可能导致远程代码执行。该漏洞被安恒CERT评为1级,CVSS3.1评分高达9.1,属于高风险。漏洞影响版本为SMA 100系列 <= 10.2.1.15-81sv。SonicWall已发布固件更新,建议用户升级至10.2.2.1-90sv或更高版本以修复该漏洞。该设备广泛应用于多个行业,因此漏洞的潜在危害性很高,所有用户应立即采取措施进行自查和更新,以防止潜在的攻击和数据泄露。

    CVE-2025-40599 SonicWall SMA 100 任意文件上传漏洞 远程代码执行 安全移动访问设备 固件更新 网络安全风险 网络安全通告

    0xa CVE-2015-10137 | WordPress Website Contact Form With File Upload

    404号浪漫 2025-07-24T14:07:01 © 404号浪漫

    Example Image


    本文详细分析了CVE-2015-10137漏洞,该漏洞存在于WordPress的Website Contact Form With File Upload插件1.3.4及之前版本中。由于upload_file()函数缺少文件类型验证,攻击者可以上传任意文件,可能导致远程代码执行。文章提供了漏洞的背景介绍、影响版本、利用复杂度、CVE编号、攻击效果等详细信息。此外,文章还介绍了如何搭建复现环境,包括基于Ubuntu和Docker的步骤。详细分析了漏洞原理,包括关键问题代码和漏洞根本原因。最后,文章给出了修复建议,包括升级到安全版本、使用白名单验证文件扩展名和MIME类型、添加文件内容验证以及设置文件大小限制等。

    漏洞分析 WordPress安全 文件上传漏洞 代码审计 漏洞复现 漏洞利用 安全防护

    0xb 记一次对某CMS渗透案例

    HZ安全实验室 2025-07-24T09:40:03 9527

    Example Image


    本文详细分析了一起针对某CMS系统的渗透测试案例,涵盖了多个常见的安全漏洞及其修复建议。文章首先指出了明文传输的风险,并建议采用加密传输和加密存储来保护数据安全。针对用户名枚举攻击,提出了统一错误提示、引入验证码和限制登录尝试等措施。存储型XSS漏洞的描述和修复建议包括输入过滤、转义特殊字符、使用内容安全策略等。文件包含漏洞的分析涉及限制文件包含的文件路径和验证文件白名单。后台RCE漏洞的修复建议包括系统安全配置、代码防护措施和第三方组件管理。文章还强调了定期安全测试和代码审计的重要性。

    渗透测试 安全漏洞 密码安全 加密技术 XSS攻击 SQL注入 文件包含漏洞 RCE漏洞 验证码 安全配置

    0xc 警惕!Microsoft-SharePoint CVE-2025-53770正在被大规模在野利用

    极安潮汐实验室 2025-07-22T17:05:29 © 极安潮汐实验室

    Example Image


    Microsoft SharePoint 是一款企业级协作平台,近日被发现了两枚严重漏洞:CVE-2025-53770 和 CVE-2025-53771。这两个漏洞可以串联利用,绕过之前针对 CVE-2025-49704 和 CVE-2025-49706 的防护措施。攻击者无需账号即可发送特制请求,窃取服务器 MachineKey,并通过构造恶意 ViewState 触发反序列化,获得服务器级权限。这些漏洞影响多个版本的 SharePoint Server,包括 2016、2019 和 Subscription Edition。2025年7月,极安科技团队捕获了在野攻击案例,并公开了相关 payload 和 poc。该漏洞风险等级极高,利用难度低,只需网络可达即可发起攻击。

    漏洞分析 远程代码执行 认证绕过 目录穿越 企业安全 在野利用 影响评估 软件漏洞

    0xd WordPress WPBookit CVE-2025-6058 漏洞研究

    404号浪漫 2025-07-22T10:43:27 © 404号浪漫

    Example Image


    本文提供了一份使用Docker一键部署WPBookit漏洞环境的脚本,旨在帮助网络安全学习者进行漏洞复现和原理分析。首先,通过执行install.sh脚本,创建并启动包含WordPress和MariaDB的Docker环境,然后下载并安装WPBookit 1.0.4漏洞插件。接着,文章提供了Python利用脚本来复现CVE-2025-6058漏洞,并简要描述了复现过程和流量分析步骤。漏洞原理分析部分指出,漏洞存在于wpbookit插件的image_upload_handle函数中,该函数在处理图片上传时缺乏文件类型检查、内容验证和权限验证,直接使用用户上传的文件名保存文件,存在安全风险。修复方案包括使用wp_check_filetype函数进行基础检测,并设置MIME类型和文件扩展名白名单,同时增加了错误处理和多语言支持。最后,文章给出了立即升级到WPBookit 1.0.5以上版本的修复建议,并提供了Nginx防护规则和安全监控命令作为临时防护措施。全文强调该内容仅用于安全研究目的,禁止用于非法渗透测试。

    漏洞分析 漏洞复现 环境搭建 修复建议 安全研究 WordPress安全

    0xe Wing FTP Server CVE-2025-47812 完整复现指南

    404号浪漫 2025-07-21T20:43:59 © 404号浪漫

    Example Image


    本文详细介绍了Wing FTP Server CVE-2025-47812漏洞的复现过程。首先,文章指导读者如何搭建Linux环境并安装Wing FTP Server,包括下载安装包、配置管理员账户和设置监听端口。接着,文章提供了YAML检测脚本和Python利用脚本的获取地址,并解释了为什么需要创建匿名用户以降低利用难度。随后,文章深入分析了漏洞原理,包括NULL字节截断认证绕过漏洞和Lua代码注入漏洞,并解释了为什么能够执行注入的cookie。最后,文章给出了修复建议,包括升级至官方最新版本和临时缓解措施,并强调了本文仅用于安全研究目的,禁止用于非法渗透测试。

    FTP漏洞 缓冲区溢出 远程代码执行 认证绕过 代码注入 漏洞复现 漏洞分析 修复建议 安全研究

    0xf 【在野利用】Microsoft SharePoint存在远程代码执行漏洞(CVE-2025-53770)

    安恒信息CERT 2025-07-21T17:55:39

    Example Image


    Microsoft SharePoint存在一个严重的远程代码执行漏洞(CVE-2025-53770),该漏洞评级为1级,CVSS3.1评分为9.8,表明其危害性极高。该漏洞允许未经授权的攻击者通过网络执行代码,影响Microsoft SharePoint Server Subscription Edition、SharePoint Server 2019和SharePoint Server 2016版本。尽管Microsoft 365中的SharePoint Online不受影响,但该漏洞的广泛使用使得客户面临严重风险。目前已有在野利用案例,因此建议用户尽快检查和更新系统,以避免潜在的攻击。Microsoft已发布安全更新,建议用户及时更新至对应安全版本,并采取包括应用最新安全更新、使用防病毒解决方案、部署Microsoft Defender等临时缓解措施。

    远程代码执行 Microsoft SharePoint CVE-2025-53770 漏洞利用 安全更新 企业内容管理 网络安全漏洞 CVSS评分 临时缓解措施

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。