2025-10-15 03:00:01 +08:00
|
|
|
|
|
2025-10-15 09:00:02 +08:00
|
|
|
|
# 安全资讯日报 2025-10-15
|
2025-10-15 03:00:01 +08:00
|
|
|
|
|
2025-10-15 09:00:02 +08:00
|
|
|
|
> 本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
|
|
|
|
|
|
>
|
2025-10-15 12:00:02 +08:00
|
|
|
|
> 更新时间:2025-10-15 11:36:25
|
2025-10-15 09:00:02 +08:00
|
|
|
|
|
|
|
|
|
|
<!-- more -->
|
|
|
|
|
|
|
|
|
|
|
|
## 今日资讯
|
|
|
|
|
|
|
2025-10-15 12:00:02 +08:00
|
|
|
|
### 🔍 漏洞分析
|
|
|
|
|
|
|
|
|
|
|
|
* [GitHub Actions 风险:不当工作流致RCE 与供应链攻击(下)](https://mp.weixin.qq.com/s?__biz=MzIyMzM2MzE1OQ==&mid=2247484535&idx=1&sn=400114649a0bc2315b738161cd5ad1b1)
|
|
|
|
|
|
* [GitHub Actions 风险:不当工作流致RCE 与供应链攻击(上)](https://mp.weixin.qq.com/s?__biz=MzIyMzM2MzE1OQ==&mid=2247484535&idx=2&sn=0dd3ff9137a52f9e1a4a2c9201f66f42)
|
|
|
|
|
|
* [.NET 代码审计:揭秘 web.config 中的高危配置漏洞](https://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247500820&idx=1&sn=e405726daaaeec050d1bd25309313d7d)
|
|
|
|
|
|
* [.NET 安全代码审计 从零基础到高阶实战,开启漏洞赏金之路](https://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247500820&idx=3&sn=ffb780dd98a814b01c78e9ab8332dbc3)
|
|
|
|
|
|
* [挖洞实战打法-在线编程平台沙盒逃逸RCE](https://mp.weixin.qq.com/s?__biz=MzkyNTUyNTE5OA==&mid=2247489010&idx=1&sn=47a5f65f41e7721d732e1e5b4aa99e4d)
|
|
|
|
|
|
* [漏洞预警 | Oracle E-Business Suite远程代码执行漏洞](https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247494670&idx=1&sn=005d482cfa835a0c7265135d07dce22a)
|
|
|
|
|
|
* [漏洞预警 | 孚盟云SQL注入漏洞](https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247494670&idx=2&sn=e9982c71dc1a4a3deb71a5579cdeee24)
|
|
|
|
|
|
* [漏洞预警 | 用友NC反序列化漏洞](https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247494670&idx=3&sn=57eb95b9787112a11d91e2c1b743f7a2)
|
|
|
|
|
|
* [警惕!名为 Stealit 的新型恶意软件,正利用 Node.js 漏洞疯狂传播](https://mp.weixin.qq.com/s?__biz=MzA4NTY4MjAyMQ==&mid=2447901472&idx=1&sn=ece9a41bdde97569f0d00623593e813d)
|
|
|
|
|
|
* [2025Q3漏洞态势全解析:这些高危漏洞成为网安工作重点(文末下载报告)](https://mp.weixin.qq.com/s?__biz=MjM5NTE0MjQyMg==&mid=2650634048&idx=1&sn=d10709af93814d56ffd9b2493656a714)
|
|
|
|
|
|
|
|
|
|
|
|
### 🔬 安全研究
|
|
|
|
|
|
|
|
|
|
|
|
* [甲方对网络安全产品方案的选型框架](https://mp.weixin.qq.com/s?__biz=MzkzNjE5NjQ4Mw==&mid=2247545471&idx=1&sn=b5c44a39f1a19d717d53f52253d632d6)
|
|
|
|
|
|
* [标准解读:城市轨道交通网络信息系统安全技术要求](https://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651136377&idx=1&sn=5064e5f4a86861ad05be3ba609d60e26)
|
|
|
|
|
|
* [美军任务式指挥深度研究系列报告](https://mp.weixin.qq.com/s?__biz=MzkyMjY1MTg1MQ==&mid=2247496702&idx=1&sn=961a39a09a46a50d06aee4f0a036ab4b)
|
|
|
|
|
|
* [美军及北约任务式指挥作战运用研究及对我启示](https://mp.weixin.qq.com/s?__biz=MzkyMjY1MTg1MQ==&mid=2247496702&idx=2&sn=95d03ecc181048d7cd0e5e0383eba082)
|
|
|
|
|
|
|
|
|
|
|
|
### 🎯 威胁情报
|
|
|
|
|
|
|
|
|
|
|
|
* [关基威胁透视 | 别让防火墙自身成为安全盲区](https://mp.weixin.qq.com/s?__biz=Mzk0MDQ5MTQ4NA==&mid=2247488178&idx=1&sn=549208616dbc870f34d1d0b77c74f1e8)
|
|
|
|
|
|
* [威胁情报聚合平台 - threat-intel-hub](https://mp.weixin.qq.com/s?__biz=MzkxNjIxNDQyMQ==&mid=2247498275&idx=1&sn=abbebd74a5b7233f38065092d76343e7)
|
|
|
|
|
|
* [AI驱动的开源攻击框架:HexStrike-AI](https://mp.weixin.qq.com/s?__biz=Mzg5NTMxMjQ4OA==&mid=2247486334&idx=1&sn=67e7475168ece28da6ae26482d4ed074)
|
|
|
|
|
|
* [Patchwork APT组织最新攻击样本分析](https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247493739&idx=1&sn=20d0d4fa0ba66d822fe3712983d7d7da)
|
|
|
|
|
|
* [渗透测试要失业?联动AI神器秒级收集全网情报,99%的隐患藏无可藏!](https://mp.weixin.qq.com/s?__biz=MzkxNzY5MTg1Ng==&mid=2247493093&idx=1&sn=6f4d55a63937178c443fa5eed0d3faa2)
|
|
|
|
|
|
* [深度剖析:顶级黑客组织如何“黑化”Velociraptor,实现一鱼三吃连环勒索?](https://mp.weixin.qq.com/s?__biz=Mzk1NzM4NzMyMw==&mid=2247485160&idx=1&sn=e9c3c639a07cdcaf8df67c012fbfbf26)
|
|
|
|
|
|
* [Android隐形大盗:Pixnapping攻击可在30秒内窃取2FA认证码](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247514571&idx=2&sn=770fadd5b506bf7a26d741e0eca962db)
|
|
|
|
|
|
* [基于回调和PEB的木马逆向分析](https://mp.weixin.qq.com/s?__biz=MzA3MTUxNzQxMQ==&mid=2453886257&idx=1&sn=7e363900d786bc36a3863bff4edfdab1)
|
|
|
|
|
|
|
|
|
|
|
|
### 🛠️ 安全工具
|
|
|
|
|
|
|
|
|
|
|
|
* [一款Windows GUI界面的渗透测试工具箱-V1.3(更新)](https://mp.weixin.qq.com/s?__biz=MzU2NzY5MzI5Ng==&mid=2247507752&idx=1&sn=b2e48dbfe55d12517e672631c4cea31c)
|
|
|
|
|
|
* [每天一个网络知识:入侵检测/防御系统(IDS/IPS)](https://mp.weixin.qq.com/s?__biz=MzUyNTExOTY1Nw==&mid=2247531962&idx=1&sn=38d4f3a1f4f3b25963f118f06d571667)
|
|
|
|
|
|
* [工具 | CloudX](https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247494670&idx=4&sn=ea857a8f7eb4aea6dbec32b828a6b00f)
|
|
|
|
|
|
|
|
|
|
|
|
### 📚 最佳实践
|
|
|
|
|
|
|
|
|
|
|
|
* [山东省某三甲医院基于分类分级的数据安全防护建设实践](https://mp.weixin.qq.com/s?__biz=MzA3NDE0NDUyNA==&mid=2650818274&idx=1&sn=5ce1d3097594eaaa30cc6e0f7d59a3b8)
|
|
|
|
|
|
* [开发运维 | DevOps实践指南](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655293055&idx=2&sn=e0ada0b94d4f3ee68ae3f62435554bdc)
|
|
|
|
|
|
* [Trae 国际版付费指南](https://mp.weixin.qq.com/s?__biz=Mzk0MTI4NTIzNQ==&mid=2247495306&idx=1&sn=cb430fb75cb3d86db450db470be1bb2c)
|
|
|
|
|
|
|
2025-10-15 09:00:02 +08:00
|
|
|
|
### 🍉 吃瓜新闻
|
|
|
|
|
|
|
|
|
|
|
|
* [越南航空公司就数据安全事件发布紧急通知](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247499194&idx=3&sn=5bc5947d53f2f528c40a0d0833c6b2f4)
|
2025-10-15 12:00:02 +08:00
|
|
|
|
* [实战记录-API泄漏+cookie篡改进后台+信息泄露和垂直越权](https://mp.weixin.qq.com/s?__biz=MzkyNTUyNTE5OA==&mid=2247489010&idx=2&sn=c02038d82f19bfbb57d9443f6b8fecb3)
|
|
|
|
|
|
* [有关“新手机号复活已故艺人账号”事件的交流探讨](https://mp.weixin.qq.com/s?__biz=MzkzMDY2MDA2Ng==&mid=2247486187&idx=1&sn=4e6a341a3156f0967f8ce320098ce9a8)
|
|
|
|
|
|
* [美国政府研究机构劳伦斯伯克利国家实验室(LBNL)数据泄露](https://mp.weixin.qq.com/s?__biz=MzU5MjgwMDg1Mg==&mid=2247487100&idx=1&sn=b1f169025652813bbc419f2788831bb4)
|
|
|
|
|
|
* [工信部修订多项汽车领域审查要求 明确网络安全数据安全](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247499194&idx=1&sn=209c388e8f28c8cc92a06df4f8b56825)
|
|
|
|
|
|
* [某文化旅游公司未履行数据安全保护义务被罚15万](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247499194&idx=2&sn=1e25fe2dcadfb02223a56c21907614a1)
|
|
|
|
|
|
* [美国医学影像服务商SimonMed约120万名患者个人信息泄露](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247499194&idx=4&sn=9756cb7d463fca78f93863b6edbd50e2)
|
|
|
|
|
|
* [仅160元,Octopus 高性能工业级边缘计算网关,内置时序数据库,支持Lua脚本,告警实时推送钉钉、飞书和企业微信](https://mp.weixin.qq.com/s?__biz=MjM5OTA4MzA0MA==&mid=2454940185&idx=1&sn=765febda71de22e0fcdcdc563f98794d)
|
2025-10-15 09:00:02 +08:00
|
|
|
|
|
|
|
|
|
|
### 📌 其他
|
|
|
|
|
|
|
|
|
|
|
|
* [具身智能产业发展规划与场景应用](https://mp.weixin.qq.com/s?__biz=MjM5NTk5Mjc4Mg==&mid=2655230952&idx=1&sn=b9782137a5e70a88180634354dec2563)
|
|
|
|
|
|
* [秦安:收网了!为何从这里开始?曝光3名头目,悬赏征集“心理作战大队”18名骨干](https://mp.weixin.qq.com/s?__biz=MzA5MDg1MDUyMA==&mid=2650481637&idx=1&sn=4aaef563933bc39a5cfb182a37565426)
|
|
|
|
|
|
* [绣花枕头vs垂直利刃:安全行业的真正护城河](https://mp.weixin.qq.com/s?__biz=MzI1NjQxMzIzMw==&mid=2247498165&idx=1&sn=b135661b52d26ee168fbf43a36658fba)
|
2025-10-15 12:00:02 +08:00
|
|
|
|
* [破局-网络安全行业当另辟蹊径](https://mp.weixin.qq.com/s?__biz=MzI5NTQ5MTAzMA==&mid=2247484701&idx=1&sn=1f18e243063d449df13c0e3b271b4f0e)
|
|
|
|
|
|
* [被我干掉的IP,在内网嘎嘎乱杀](https://mp.weixin.qq.com/s?__biz=MzI5NjA0NjI5MQ==&mid=2650184789&idx=1&sn=67836518569ebf5c260aefdcd49e4b36)
|
|
|
|
|
|
* [2026首站,泰国|加入Cybersec Asia,把握东南亚AI+安全无限可能](https://mp.weixin.qq.com/s?__biz=MzkzNjE5NjQ4Mw==&mid=2247545471&idx=2&sn=74bea60fdb72a702a3265e48e6d843f1)
|
|
|
|
|
|
* [经典序列,Linux小白也能靠这些Linux命令完成服务器救急!](https://mp.weixin.qq.com/s?__biz=MzI1NzI5NDM4Mw==&mid=2247499181&idx=1&sn=4b255d1278f3806630ef56cfe66a6463)
|
|
|
|
|
|
* [.NET 内网实战攻防电子报刊](https://mp.weixin.qq.com/s?__biz=MzUyOTc3NTQ5MA==&mid=2247500820&idx=2&sn=cd2761200ae51e42b87e53c9abed3794)
|
|
|
|
|
|
* [网安原创文章推荐2025/10/14](https://mp.weixin.qq.com/s?__biz=MzAxNzg3NzMyNQ==&mid=2247490646&idx=1&sn=824e6fd02434b46d18adfda3a90ecec6)
|
|
|
|
|
|
* [上车啦!| 微信②群聊天交流 | QQ群分享资料](https://mp.weixin.qq.com/s?__biz=MzIzODMyMzQxNQ==&mid=2247485283&idx=1&sn=bd4e5bded6b8d181c4f5e2cd8ffb9522)
|
|
|
|
|
|
* [内网IT系统对外开放服务,如何确保网络边界安全?](https://mp.weixin.qq.com/s?__biz=MzIxMTEyOTM2Ng==&mid=2247505627&idx=1&sn=42dc4363f889641633ae022075d70b2e)
|
|
|
|
|
|
* [新一轮贸易战对微软Copilot在国内前景的影响](https://mp.weixin.qq.com/s?__biz=MzkxNzY0Mzg2OQ==&mid=2247487634&idx=1&sn=498ed9360abe74042f8e84df3ad0f699)
|
|
|
|
|
|
* [软考技巧||机考必须提前学会这些机考技能。](https://mp.weixin.qq.com/s?__biz=MzIwNDYzNTYxNQ==&mid=2247504335&idx=1&sn=09b9be5a47f535c20c0c6339a10e4696)
|
|
|
|
|
|
* [玩转硬件ITOP-RK3588开发板 安装Linux](https://mp.weixin.qq.com/s?__biz=MzkxMzIwNTY1OA==&mid=2247514330&idx=1&sn=4951d90ea0bebeb49153c6465c1dd535)
|
|
|
|
|
|
* [MSshellCode-将你提供的shellcode进行免杀生成exe文件](https://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247495405&idx=1&sn=4312663e55f53b8d968b654f0bd3869a)
|
|
|
|
|
|
* [车联网安全新规落地,网御星云全域解决方案赋能产业蓬勃发展](https://mp.weixin.qq.com/s?__biz=MzA3NDUzMjc5Ng==&mid=2650204109&idx=1&sn=72c7268ecb649bd458091d503d16de8a)
|
|
|
|
|
|
* [BreachForums 遭FBI和国际执法机构查封:一个网络犯罪时代的终结](https://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247514135&idx=1&sn=19692a5efeea80afaafb95e0781fa765)
|
|
|
|
|
|
* [速进!全平台项目群“安服崽”交流群](https://mp.weixin.qq.com/s?__biz=MzkxNzY5MTg1Ng==&mid=2247493093&idx=2&sn=d05743b370b05246da0b69306420968e)
|
|
|
|
|
|
* [大一学弟EDUSRC第一个高危之实战](https://mp.weixin.qq.com/s?__biz=MzIxNTg1MjYzOQ==&mid=2247483980&idx=1&sn=e15267d9eebe2fc633ac5e77bd055fcf)
|
|
|
|
|
|
* [云计算 | MaaS是啥?它安全吗?](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655293055&idx=1&sn=7d28e1c0e2bebba4d07c869c4b38de4f)
|
|
|
|
|
|
* [浏览器/小程序定位加解密FakeCryptoJS](https://mp.weixin.qq.com/s?__biz=MzkxNjMwNDUxNg==&mid=2247488971&idx=1&sn=f1fe239e401542c2639e9e10361faf32)
|
|
|
|
|
|
* [免费又专业!FreeRADIUS对接H3C无线网络,完美实现Portal认证](https://mp.weixin.qq.com/s?__biz=MzI4NjAzMTk3MA==&mid=2458861856&idx=1&sn=3fe19e42b5963f938f09ebce1a6c5585)
|
|
|
|
|
|
* [网警呼吁:抵制网络谣言 从你我做起](https://mp.weixin.qq.com/s?__biz=MzU0MTA3OTU5Ng==&mid=2247567409&idx=1&sn=e7a580a173b415bbc17b0aa759af606e)
|
|
|
|
|
|
* [新团队组建](https://mp.weixin.qq.com/s?__biz=MzYyNTcyMTE5NQ==&mid=2247483732&idx=1&sn=a36100271daafcc24482b2d69fcd13fa)
|
|
|
|
|
|
* [净网—2025|警惕!网络背后的 “赃物陷阱”](https://mp.weixin.qq.com/s?__biz=MzU0MTA3OTU5Ng==&mid=2247567403&idx=1&sn=70d80f04995a5f084a25b393b893d4bd)
|
|
|
|
|
|
* [微信一键转发,机密文件秒变“全网公开”! 一份“秘密级”文件在微信群中疯狂传播,涉事人员被处分,保密警钟再次敲响](https://mp.weixin.qq.com/s?__biz=MzIwMTQ2MzU5Nw==&mid=2652462027&idx=1&sn=915140c3d4e3855a7e9a85f02b7e3b9f)
|
|
|
|
|
|
* [微信授权小程序登录过程](https://mp.weixin.qq.com/s?__biz=Mzg2MzkwNDU1Mw==&mid=2247486011&idx=1&sn=f7f4bd739deb5cc173995be2b75006f4)
|
|
|
|
|
|
* [华为交换机,路由器,防火墙经常使用的查询命令](https://mp.weixin.qq.com/s?__biz=MzU4ODU1MzAyNg==&mid=2247513767&idx=1&sn=b6f1ccae6aa0116741856aa18556d546)
|
|
|
|
|
|
* [新一批境外恶意网址和恶意IP发布!](https://mp.weixin.qq.com/s?__biz=Mzg5OTg5OTI1NQ==&mid=2247492013&idx=1&sn=93d6a24502923091e856e52b4f7233fa)
|
|
|
|
|
|
* [“别抬头”的安全谎言:800美元设备截获美军事通信](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247514571&idx=1&sn=a376cf4bfff7ecabebba71012bf3067a)
|
|
|
|
|
|
* [暗网快讯20251015期](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247514571&idx=3&sn=c28f555fd660b973c5d9b27301138ea8)
|
|
|
|
|
|
* [5th域安全微讯早报20251015247期](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247514571&idx=4&sn=63bc0d39ac15fd3e497d774d6f52e69a)
|
|
|
|
|
|
* [羊城杯_ez_py详解wp](https://mp.weixin.qq.com/s?__biz=MzkzNjkzMTE1NA==&mid=2247483935&idx=1&sn=430252c404a82ff879e716c667874c0a)
|
|
|
|
|
|
* [重要通知丨第九届“强网杯”强网论坛活动通知](https://mp.weixin.qq.com/s?__biz=MzA3ODE0NDA4MA==&mid=2649402907&idx=1&sn=b6eb3970274f1213d1fa4bffcfd531f3)
|
|
|
|
|
|
* [重要通知丨第九届“强网杯”强网征文活动通知](https://mp.weixin.qq.com/s?__biz=MzA3ODE0NDA4MA==&mid=2649402907&idx=2&sn=c64cbf91c587acbb64e33f77c1f0b889)
|
|
|
|
|
|
* [安卓逆向 -- 手撕某歌服务校验](https://mp.weixin.qq.com/s?__biz=MzA4MzgzNTU5MA==&mid=2652040404&idx=1&sn=7dd67f3f687e78c1d6bd15d44654711b)
|
|
|
|
|
|
* [每日免费资源更新(20251015)](https://mp.weixin.qq.com/s?__biz=MzA4MzgzNTU5MA==&mid=2652040404&idx=2&sn=8dc8c826a4eb1dc423a77727eb31df81)
|
|
|
|
|
|
* [(限量好礼)安恒信息官网焕新:更全方案、更好服务、更快触达!](https://mp.weixin.qq.com/s?__biz=MjM5NTE0MjQyMg==&mid=2650634048&idx=2&sn=103b916e0612e856aff41a7c8f98e997)
|
|
|
|
|
|
* [用了 BMM,才知道之前的网页书签都白收藏了!](https://mp.weixin.qq.com/s?__biz=MzA4MjkzMTcxMg==&mid=2449047930&idx=1&sn=99d435e52e307fe7b5c22a716804ad58)
|
2025-10-15 09:00:02 +08:00
|
|
|
|
|
|
|
|
|
|
## 安全分析
|
|
|
|
|
|
(2025-10-15)
|
2025-10-15 03:00:01 +08:00
|
|
|
|
|
|
|
|
|
|
本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
### CVE-2025-3515 - WordPress插件任意文件上传漏洞
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 漏洞信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| CVE编号 | CVE-2025-3515 |
|
|
|
|
|
|
| 风险等级 | `CRITICAL` |
|
|
|
|
|
|
| 利用状态 | `POC可用` |
|
|
|
|
|
|
| 发布时间 | 2025-10-14 00:00:00 |
|
|
|
|
|
|
| 最后更新 | 2025-10-14 14:49:24 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📦 相关仓库
|
|
|
|
|
|
|
|
|
|
|
|
- [lab-cve-2025-3515](https://github.com/robertskimengote/lab-cve-2025-3515)
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该项目是一个用于复现CVE-2025-3515漏洞的WordPress实验室环境。 仓库包含一个Docker化的WordPress环境,其中预装了易受攻击的`drag-and-drop-multiple-file-upload-contact-form-7`插件。 该插件存在任意文件上传漏洞,攻击者可以通过构造特定的请求,上传恶意文件,进而控制服务器。 仓库更新内容主要集中在README.md文件的更新, 包括下载链接的修复,以及对漏洞的说明和使用指南的补充。 同时,`scripts/wp-init.sh` 脚本被增强,用于自动安装特定版本的Contact Form 7插件,创建包含文件上传字段的表单,并配置Apache服务器,允许上传.phar文件,但禁止.php文件的执行。 整体来说,该项目提供了一个便捷的漏洞复现和测试环境。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | 漏洞类型:WordPress插件`drag-and-drop-multiple-file-upload-contact-form-7`的任意文件上传。 |
|
|
|
|
|
|
| 2 | 攻击方式:构造恶意请求,上传PHP或其他可执行文件,实现远程代码执行。 |
|
|
|
|
|
|
| 3 | 影响范围:目标服务器被完全控制,可能导致敏感数据泄露、网站篡改等。 |
|
|
|
|
|
|
| 4 | 利用条件:需目标站点安装了 vulnerable 插件,且攻击者能够访问上传接口。 |
|
|
|
|
|
|
| 5 | 防护状态:该漏洞为0day,尚未发布补丁,影响范围有限 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞原理:`drag-and-drop-multiple-file-upload-contact-form-7`插件在处理文件上传时,未对上传的文件类型进行充分的过滤和验证,导致攻击者可以上传任意类型的文件。
|
|
|
|
|
|
|
|
|
|
|
|
> 利用方法:攻击者可以上传包含恶意代码的PHP文件或其他可执行文件,并通过访问上传后的文件触发恶意代码,最终控制服务器。
|
|
|
|
|
|
|
|
|
|
|
|
> 修复方案:在插件中增加对上传文件类型的严格过滤和验证,限制可上传的文件类型,或者对上传的文件进行安全扫描。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• WordPress
|
|
|
|
|
|
• drag-and-drop-multiple-file-upload-contact-form-7插件 (<= 1.3.8.9)
|
|
|
|
|
|
• Contact Form 7 插件
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
该漏洞允许攻击者上传恶意文件,进而控制服务器,危害程度高。 虽然0day状态,但考虑到WordPress的广泛使用,且存在可利用的PoC,该漏洞具有很高的实战价值。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
2025-10-15 06:00:02 +08:00
|
|
|
|
### CVE-2025-48799 - Windows Update 提权漏洞
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 漏洞信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| CVE编号 | CVE-2025-48799 |
|
|
|
|
|
|
| 风险等级 | `HIGH` |
|
|
|
|
|
|
| 利用状态 | `POC可用` |
|
|
|
|
|
|
| 发布时间 | 2025-10-14 00:00:00 |
|
|
|
|
|
|
| 最后更新 | 2025-10-14 18:47:39 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📦 相关仓库
|
|
|
|
|
|
|
|
|
|
|
|
- [CVE-2025-48799](https://github.com/ukisshinaah/CVE-2025-48799)
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该仓库提供CVE-2025-48799的PoC,该漏洞存在于Windows Update服务中,允许攻击者在具有多硬盘的系统上通过任意目录删除实现提权。PoC利用了Windows存储感知功能,通过修改新内容存储位置,导致wuauserv服务在安装新应用时未正确校验符号链接,从而可以删除任意目录。代码实现简单,依赖于ZDI的分析。该PoC目前已提供下载,但仓库star数和提交活动较少,可能并未进行充分测试。漏洞利用需要本地访问,但一旦触发,危害严重,可以直接导致权限提升。从github提交记录来看,该PoC正在完善,且已提供下载,但缺少进一步的漏洞利用和防护措施分析。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | 漏洞位于Windows Update服务,影响Win10/Win11多硬盘系统。 |
|
|
|
|
|
|
| 2 | 通过修改存储感知设置,触发wuauserv服务任意目录删除。 |
|
|
|
|
|
|
| 3 | 删除操作未校验符号链接,可导致本地提权。 |
|
|
|
|
|
|
| 4 | PoC已提供下载,但仓库活跃度较低,代码质量待验证。 |
|
|
|
|
|
|
| 5 | 需要本地访问,一旦利用成功,权限提升风险高。 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞原理:Windows Update 服务在多硬盘环境下,安装应用时未正确处理存储感知配置,导致服务在删除目录时未校验符号链接,允许攻击者控制删除目标。
|
|
|
|
|
|
|
|
|
|
|
|
> 利用方法:攻击者需要配置存储感知,将新应用存储位置指向非系统盘,并设置符号链接指向目标目录,然后触发Windows Update服务,使其删除恶意目录。通过删除关键文件,实现权限提升。
|
|
|
|
|
|
|
|
|
|
|
|
> 修复方案:微软应修复wuauserv服务,在删除目录前进行严格的权限和类型校验,防止符号链接绕过。用户应及时更新系统补丁,并限制普通用户对系统目录的修改权限。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• Windows Update Service (wuauserv)
|
|
|
|
|
|
• Windows 10
|
|
|
|
|
|
• Windows 11
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
2025-10-15 03:00:01 +08:00
|
|
|
|
|
2025-10-15 06:00:02 +08:00
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
该漏洞允许本地权限提升,影响广泛的Windows系统,PoC已发布,虽然仓库活跃度不高,但潜在的威胁较高。利用难度中等,需要一定的技术知识,但一旦成功,后果严重。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
|
|
|
|
### CVE-2025-7441 - StoryChief任意文件上传漏洞
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 漏洞信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| CVE编号 | CVE-2025-7441 |
|
|
|
|
|
|
| 风险等级 | `HIGH` |
|
|
|
|
|
|
| 利用状态 | `POC可用` |
|
|
|
|
|
|
| 发布时间 | 2025-10-14 00:00:00 |
|
|
|
|
|
|
| 最后更新 | 2025-10-14 19:09:31 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📦 相关仓库
|
|
|
|
|
|
|
|
|
|
|
|
- [CVE-2025-7441](https://github.com/Pwdnx1337/CVE-2025-7441)
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该漏洞涉及StoryChief 1.0.42版本中未授权的任意文件上传。 仓库提供了POC,展示了攻击者可以上传任意文件,可能导致远程代码执行(RCE)。README.md 提供了漏洞的基本信息和使用方法。 虽然当前Github的star数量为0,项目也刚发布,但由于漏洞本身的危害性(任意文件上传)和POC的存在,因此评估具有较高的关注价值。 提交记录显示了README.md和img.png的更新,以及POC的添加。 重点关注漏洞利用方式和可能的危害。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | StoryChief 1.0.42存在未授权的文件上传漏洞。 |
|
|
|
|
|
|
| 2 | 攻击者可以上传任意文件,例如Webshell。 |
|
|
|
|
|
|
| 3 | 该漏洞可能导致服务器被完全控制,造成严重危害。 |
|
|
|
|
|
|
| 4 | POC已在Github上公开,易于利用。 |
|
|
|
|
|
|
| 5 | 该漏洞发布时间较新,补丁覆盖率可能较低。 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞原理:StoryChief 1.0.42版本中存在未授权的文件上传接口,攻击者可以绕过身份验证上传任意文件。
|
|
|
|
|
|
|
|
|
|
|
|
> 利用方法:攻击者构造特定的HTTP请求,将恶意文件(例如Webshell)上传到服务器。利用POC可直接上传文件。POC使用python实现,可以指定目标URL。
|
|
|
|
|
|
|
|
|
|
|
|
> 修复方案:升级到StoryChief的修复版本。或者,实施文件上传的身份验证和访问控制策略,限制上传文件的类型和大小。对上传的文件进行安全扫描。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• StoryChief <= 1.0.42
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
该漏洞为未授权文件上传漏洞,影响StoryChief。POC已经公开,利用难度低,可能导致RCE,因此威胁价值高。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
2025-10-15 09:00:02 +08:00
|
|
|
|
|
2025-10-15 12:00:02 +08:00
|
|
|
|
### CVE-2025-10184 - ColorOS短信数据泄露漏洞
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 漏洞信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| CVE编号 | CVE-2025-10184 |
|
|
|
|
|
|
| 风险等级 | `CRITICAL` |
|
|
|
|
|
|
| 利用状态 | `POC可用` |
|
|
|
|
|
|
| 发布时间 | 2025-10-14 00:00:00 |
|
|
|
|
|
|
| 最后更新 | 2025-10-14 23:22:16 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📦 相关仓库
|
|
|
|
|
|
|
|
|
|
|
|
- [ColorOS-CVE-2025-10184](https://github.com/ENGWes/ColorOS-CVE-2025-10184)
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该仓库提供了关于ColorOS操作系统中SMS数据访问漏洞的分析和利用信息,主要针对OPPO及其子品牌。仓库包含漏洞描述、修复方案、自救方法等。漏洞允许未经授权的应用程序读取用户的短信内容,包括短信验证码,影响用户的隐私安全。根据README文档描述,此漏洞影响范围广泛,从ColorOS 6.0.1版本就开始存在,影响了OPPO及其子品牌的大量设备。该漏洞的修复已开始推送,但修复范围有限,且修复版本推送具有滞后性。该漏洞影响用户范围广,影响了用户隐私安全,具有较高的实战威胁。该漏洞的POC验证方法,以及用户自救方案都已给出。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | 漏洞允许未授权应用读取短信数据,包括验证码,无用户交互。 |
|
|
|
|
|
|
| 2 | 漏洞影响OPPO及其子品牌,波及范围广。 |
|
|
|
|
|
|
| 3 | 修复方案已推送,但存在滞后性和范围限制。 |
|
|
|
|
|
|
| 4 | 漏洞利用门槛低,易于被恶意软件利用。 |
|
|
|
|
|
|
| 5 | 漏洞利用可能导致用户敏感信息泄露,威胁用户资产安全。 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞利用原理为数据库注入攻击,允许绕过权限读取短信数据库。
|
|
|
|
|
|
|
|
|
|
|
|
> 攻击者无需特殊条件,通过构造恶意应用即可读取短信内容。
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞危害包括短信内容泄露、验证码泄露,可能导致账户被盗等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• ColorOS操作系统中com.android.providers.telephony组件,包括SMS/MMS数据库
|
|
|
|
|
|
• OPPO、一加、Realme等品牌手机
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
漏洞影响范围广,涉及OPPO及其子品牌,利用门槛低,危害严重,可能导致用户隐私泄露和财产损失,且存在0day风险,具有极高的实战威胁价值。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
|
|
|
|
### AioS - Agentic安全工具平台
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 仓库信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| 仓库名称 | [AioS](https://github.com/Workofarttattoo/AioS) |
|
|
|
|
|
|
| 风险等级 | `MEDIUM` |
|
|
|
|
|
|
| 安全类型 | `渗透工具/安全工具集合` |
|
|
|
|
|
|
| 更新类型 | `新增工具和功能` |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📊 代码统计
|
|
|
|
|
|
|
|
|
|
|
|
- 分析提交数: **5**
|
|
|
|
|
|
- 变更文件数: **13**
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该仓库是一个agentic操作系统Ai|oS的安全工具集合,核心在于其创新的agent架构和对现有安全工具的重新设计。仓库包含多个新工具,如SovereignSuite(Burp Suite替代品)、Scr1b3(量子分析编辑器)、NmapPro(网络侦察工具)以及PayloadForge (Metasploit框架GUI)。代码质量方面,项目采用了HTML/JavaScript GUI,并使用了git-crypt加密关键工具。从更新来看,仓库持续新增工具,体现了持续的开发和完善。虽然项目仍处于原型阶段,但其agentic架构和量子计算的结合具有一定的创新性。 由于涉及工具较多,漏洞风险需要进一步评估,项目本身并无明显的漏洞信息,更多是工具的使用风险和可能的配置错误带来的安全风险。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | Agentic操作系统架构:核心采用agent架构,具有一定的创新性。 |
|
|
|
|
|
|
| 2 | 安全工具集成:集成了SovereignSuite、Scr1b3等多种安全工具,功能丰富。 |
|
|
|
|
|
|
| 3 | GUI界面:为工具提供了GUI界面,提升了易用性。 |
|
|
|
|
|
|
| 4 | 持续更新:持续添加新工具和功能,展现了项目的活力。 |
|
|
|
|
|
|
| 5 | 与Metasploit集成:PayloadForge工具增强了Metasploit框架的使用体验。 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> Ai|oS操作系统基于agentic架构,可能涉及复杂的agent间交互和任务调度。
|
|
|
|
|
|
|
|
|
|
|
|
> SovereignSuite提供了Web应用程序安全测试功能,包括代理、扫描、爬虫等。
|
|
|
|
|
|
|
|
|
|
|
|
> Scr1b3是一个代码编辑器,具有量子分析功能,具体实现方式有待考证。
|
|
|
|
|
|
|
|
|
|
|
|
> PayloadForge 是 Metasploit 的 GUI 包装器,方便用户使用。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• SovereignSuite: Web应用程序扫描、代理、爬虫等功能
|
|
|
|
|
|
• Scr1b3: 代码编辑和分析功能
|
|
|
|
|
|
• PayloadForge: Metasploit框架
|
|
|
|
|
|
• NmapPro: 网络侦察工具
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
该项目整合了多个安全工具,并采用了agentic操作系统架构,具有一定的创新性和实用价值。项目持续更新,也表明了其潜在的发展潜力。GUI界面的提供增强了易用性,尽管项目仍处于早期阶段,但其潜力值得关注。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
|
|
|
|
### CVE-2025-60374 - Perfex CRM Chatbot XSS
|
|
|
|
|
|
|
|
|
|
|
|
#### 📌 漏洞信息
|
|
|
|
|
|
|
|
|
|
|
|
| 属性 | 详情 |
|
|
|
|
|
|
|------|------|
|
|
|
|
|
|
| CVE编号 | CVE-2025-60374 |
|
|
|
|
|
|
| 风险等级 | `HIGH` |
|
|
|
|
|
|
| 利用状态 | `POC可用` |
|
|
|
|
|
|
| 发布时间 | 2025-10-15 00:00:00 |
|
|
|
|
|
|
| 最后更新 | 2025-10-15 03:05:02 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 📦 相关仓库
|
|
|
|
|
|
|
|
|
|
|
|
- [CVE-2025-60374](https://github.com/ajansha/CVE-2025-60374)
|
|
|
|
|
|
|
|
|
|
|
|
#### 💡 分析概述
|
|
|
|
|
|
|
|
|
|
|
|
该CVE描述了Perfex CRM的聊天机器人功能中存在存储型跨站脚本漏洞(XSS)。攻击者可以通过在聊天消息中注入恶意HTML和JavaScript代码来利用此漏洞。由于CRM系统未对用户输入的消息进行适当的过滤和转义,导致恶意代码被存储在数据库中,并在其他用户查看聊天消息时执行。此漏洞可能导致会话劫持、账户接管、数据泄露等严重安全问题。代码库提供了漏洞的详细信息,包括POC、修复建议和缓解措施,便于理解漏洞原理和影响。此外,还提供了详细的攻击场景,例如cookie窃取,并给出了代码示例。综上所述,该漏洞威胁等级高。
|
|
|
|
|
|
|
|
|
|
|
|
#### 🔍 关键发现
|
|
|
|
|
|
|
|
|
|
|
|
| 序号 | 发现内容 |
|
|
|
|
|
|
|------|----------|
|
|
|
|
|
|
| 1 | 存储型XSS:恶意脚本被持久化存储在服务器端。 |
|
|
|
|
|
|
| 2 | 影响范围广:所有查看聊天记录的用户均受影响。 |
|
|
|
|
|
|
| 3 | 利用简单:构造恶意消息即可触发,无需复杂操作。 |
|
|
|
|
|
|
| 4 | 危害严重:可导致会话劫持、账户接管等。 |
|
|
|
|
|
|
| 5 | 修复建议:及时升级到修复版本,并实施输入过滤和输出转义。 |
|
|
|
|
|
|
|
|
|
|
|
|
#### 🛠️ 技术细节
|
|
|
|
|
|
|
|
|
|
|
|
> 漏洞成因:聊天机器人功能对用户输入的消息缺乏有效的输入验证和输出转义,导致恶意HTML/JavaScript代码被存储。
|
|
|
|
|
|
|
|
|
|
|
|
> 利用方法:攻击者在聊天消息中构造恶意HTML标签,例如<img>标签结合onerror事件,或者<button>标签结合onclick事件,或者<iframe>标签等,当用户查看聊天消息时,恶意代码被执行,从而实现XSS攻击。
|
|
|
|
|
|
|
|
|
|
|
|
> 修复方案:升级到Perfex CRM 3.3.1或更高版本。开发人员应实施输入验证,例如使用htmlspecialchars函数转义用户输入,并使用CSP策略限制脚本的执行。此外,强烈建议启用HttpOnly cookie,以降低会话劫持的风险。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
#### 🎯 受影响组件
|
|
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
|
• Perfex CRM 的聊天机器人组件
|
|
|
|
|
|
```
|
|
|
|
|
|
|
|
|
|
|
|
#### ⚡ 价值评估
|
|
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
<summary>展开查看详细评估</summary>
|
|
|
|
|
|
|
|
|
|
|
|
该漏洞属于存储型XSS,影响范围广,利用难度低,危害程度高,可以导致用户会话劫持,账户接管,信息泄露等严重后果。结合其PoC,修复方案和攻击场景,具有很高的实战价值。
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
2025-10-15 09:00:02 +08:00
|
|
|
|
|
|
|
|
|
|
## 免责声明
|
|
|
|
|
|
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。
|
