CyberSentinel-AI/results/2025-04-30.md

# 安全资讯日报 2025-04-30

> 本文由AI自动生成，基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
> 
> 更新时间：2025-04-30 02:59:16

<!-- more -->

## 今日资讯

### 🔍 漏洞分析

* [2024年在野零日漏洞利用分析（上）](https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247486375&idx=1&sn=47fe33f6229583275d6ec2dcb753df83)
* [GLPI 中的预身份验证 SQL 注入到 RCE（CVE-2025-24799/CVE-2025-24801）](https://mp.weixin.qq.com/s?__biz=Mzg2NTk4MTE1MQ==&mid=2247487401&idx=1&sn=00f2815a0fb59f54f7fab8c249a11d6c)
* [超过 16,000 台 Fortinet 设备遭符号链接后门攻击](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247492764&idx=1&sn=0c7ec606ed9c137b085ef3321d159761)

### 🔬 安全研究

* [金思宇：数字治理：构建良好数字发展生态与国家治理现代化路径研究](https://mp.weixin.qq.com/s?__biz=MzA5MDg1MDUyMA==&mid=2650478831&idx=3&sn=22161334679a401fb9c492bb2dad457e)
* [STRIDE与DREAD模型对比分析](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247515592&idx=1&sn=735a569db2272800398051b74b129884)
* [CyberStrikeLab靶场日记——PT-1](https://mp.weixin.qq.com/s?__biz=MzkwOTg3NzAyNQ==&mid=2247484170&idx=1&sn=18e0c4f965742f54a86ce051390b4b13)
* [容器逃逸分析——基于Docker Socket的另类手法解析](https://mp.weixin.qq.com/s?__biz=MzIyMjkzMzY4Ng==&mid=2247510635&idx=1&sn=e3478e007f42db8d02714848a9b8320f)
* [开源网络安全大模型Foundation-Sec-8B](https://mp.weixin.qq.com/s?__biz=MzI5NTQ3NzIxMw==&mid=2247485469&idx=1&sn=e2ce14bc1801ce536d0e5c87bad00acf)

### 🎯 威胁情报

* [基于 Golang 的新后门使用 Telegram Bot API 进行规避 C2作](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247520262&idx=1&sn=20b0eb82fabd9c815acbd7ca2249f3ed)
* [网络安全供应商本身也受到黑客攻击](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499289&idx=2&sn=61b15cad9d60e44083bbdaf6cc8011ff)
* [白嫖党的末日？Clash用户数据遭“扒光”，速看保命指南！](https://mp.weixin.qq.com/s?__biz=Mzg2OTU3MzI1OQ==&mid=2247486012&idx=1&sn=c4ad3f3a03bce809d4d9be40b2034f71)

### 🛠️ 安全工具

* [AppxPotato本地权限提升工具](https://mp.weixin.qq.com/s?__biz=Mzk1NzIyODg2OQ==&mid=2247484462&idx=1&sn=820656b1cfe779f17852d2c62ea3a481)
* [一款快速识别网站指纹的Google插件|「指纹猎手」](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491209&idx=1&sn=d319d83a34355fae84b5179965d9df4f)
* [工具推荐 | 最新最全开源后渗透信息工具](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247494535&idx=1&sn=6b32793334eee4b159e6a936da9b650d)

### 🍉 吃瓜新闻

* [秦安：不跪是战斗檄文，是严厉警告，是责任担当，中国早已站起来了！](https://mp.weixin.qq.com/s?__biz=MzA5MDg1MDUyMA==&mid=2650478831&idx=1&sn=3fe629ff724342baefce508eeb612cf0)
* [金思宇：特朗普挥舞“关税大棒”：异想天开地想让制造业回流难实现](https://mp.weixin.qq.com/s?__biz=MzA5MDg1MDUyMA==&mid=2650478831&idx=2&sn=b4e0b1f3563121b5e14e9e6738a42df6)
* [员工福利管理服务商数据泄露事件影响400万人](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115430&idx=1&sn=8826ea5e5f1ae1de0a7a93fa2b85501c)
* [非洲电信巨头MTN集团披露数据泄露事件](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115430&idx=2&sn=6b39fbc19094b82baadde08006efc66a)
* [福布斯：开辟网络安全新途径](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499289&idx=1&sn=0586a0390d8e61457bf93ac41db1b977)
* [奇安信（网安一哥）2024年度报告发布，实现营业收入43.49亿元，同比下降32.49%，人均创收为57.45万元](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247490265&idx=1&sn=65d509465b740ce049b8d67c912d11ba)
* [安博通2024年度报告发布，营收7.37亿，同比增长34.37%，人均创收154.45万](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247490290&idx=1&sn=592b68292b5d077decd9a5ccf21e0063)
* [年报全出，网络安全行业营收继续萎缩，去年Q4同比下降14.1%，今年Q1下降1.5%](https://mp.weixin.qq.com/s?__biz=MzUzOTI4NDQ3NA==&mid=2247484769&idx=1&sn=491ff74f795df749a55ff4f8df1259c5)
* [张国清出席第八届数字中国建设峰会开幕式并在福建调研](https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664241752&idx=1&sn=cd0b486934548494938df1e0b32d6b27)
* [发布 | 国家数据局发布《数字中国发展报告（2024年）》](https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664241752&idx=2&sn=1197e0323daafe71b3b17b3a78192c4e)
* [发布 | 《全国数据资源调查报告（2024年）》正式发布（附全文）](https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664241752&idx=3&sn=eca94285e313520e94e84b7e60a66f77)

### 📌 其他

* [UKY 2025UCSC WP](https://mp.weixin.qq.com/s?__biz=MzkyNTU4OTc3MA==&mid=2247485425&idx=1&sn=8d8d6d094d94c660521e0b761cd014e2)
* [网安菁英 | 保研篇：张高淞——文明其精神，野蛮其体魄](https://mp.weixin.qq.com/s?__biz=MzkwMTU2NzMwOQ==&mid=2247485063&idx=1&sn=6472b1ab910f2d1bcfc78a3aed4921e9)
* [资料美国导弹防御评估报告](https://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651149830&idx=1&sn=cfff0b048bbfafd7acf430054792ce44)

## 安全分析
(2025-04-30)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-32433 - Erlang SSH server pre-auth RCE

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 16:53:42 |

#### 📦 相关仓库

- [CVE-2025-32433](https://github.com/rizky412/CVE-2025-32433)

#### 💡 分析概述

该仓库提供了针对CVE-2025-32433的PoC和相关资源。它包含一个Docker环境，用于搭建易受攻击的Erlang SSH服务器。核心功能是提供一个可复现的漏洞环境和exploit。更新内容包括：README.md的详细说明，Dockerfile用于构建环境，ssh_server.erl文件，以及一个Python编写的exploit(CVE-2025-32433.py)。漏洞的利用方式是通过构造特定的SSH握手和Channel Request，在pre-auth阶段执行任意命令，实现RCE。PoC代码尝试在/lab.txt文件中写入pwned。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Erlang SSH服务器pre-auth RCE漏洞 |
| 2 | 利用构造的SSH消息，在认证前执行任意命令 |
| 3 | PoC代码可用，可直接用于验证漏洞 |
| 4 | Docker环境方便复现漏洞 |
| 5 | 影响范围：Erlang OTP中实现的SSH服务器，具体版本待定 |

#### 🛠️ 技术细节

> 漏洞原理：SSH服务器在处理某些特定的channel request时，存在安全漏洞，攻击者可以构造恶意的channel request，在未经过身份验证的情况下执行任意命令。

> 利用方法：PoC构造了SSH握手过程，并发送了恶意channel request，请求执行任意命令，命令将写入文件/lab.txt

> 修复方案：升级Erlang/OTP版本到已修复的版本。仔细审查SSH服务器处理channel request相关的代码，修复漏洞。


#### 🎯 受影响组件

```
• Erlang OTP
• SSH Server
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞具有远程代码执行（RCE）的特点，且PoC代码已经可用，可以验证漏洞，所以属于高价值漏洞。
</details>

---

### CVE-2025-0411 - 7-Zip MotW绕过漏洞，POC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 16:27:18 |

#### 📦 相关仓库

- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)

#### 💡 分析概述

该仓库提供CVE-2025-0411的POC，该漏洞存在于7-Zip中，允许绕过Mark-of-the-Web (MotW) 保护机制。攻击者可以通过诱使用户打开特制的压缩包来执行任意代码。 仓库提供了漏洞的细节描述、易受攻击的版本、缓解措施以及POC。  仓库初始提交描述了漏洞细节和利用方式，通过双重压缩文件来绕过MotW，并在解压后执行恶意代码。 更新主要集中在README.md的修改，包括修复了CVE链接，更新了项目介绍和下载链接，以及优化了项目描述和代码示例。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 7-Zip的Mark-of-the-Web绕过漏洞，可导致代码执行。 |
| 2 | 利用方式是通过构造恶意的7z压缩包。 |
| 3 | POC已提供，演示了漏洞的利用过程。 |
| 4 | 受影响的版本为7-Zip 24.09之前的版本。 |

#### 🛠️ 技术细节

> 漏洞原理：7-Zip在处理压缩文件时，未正确传播MotW标记，导致解压后的文件绕过了安全防护。

> 利用方法：构造包含恶意文件的7z压缩包，用户解压后，恶意代码即可执行。

> 修复方案：升级到7-Zip 24.09或更高版本。


#### 🎯 受影响组件

```
• 7-Zip
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞具有实际的利用价值，提供了POC，影响广泛使用的7-Zip，且可以导致远程代码执行（RCE）。
</details>

---

### CVE-2025-24054 - Windows NTLM Hash 泄露漏洞 PoC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-24054 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 15:29:06 |

#### 📦 相关仓库

- [CVE-2025-24054-PoC](https://github.com/ClementNjeru/CVE-2025-24054-PoC)

#### 💡 分析概述

该仓库提供了一个针对CVE-2025-24054漏洞的PoC。漏洞是由于Windows系统处理.library-ms文件时，会触发SMB认证请求，从而泄露NTLM哈希。仓库包含生成恶意.library-ms文件的脚本(exploit.py)，以及一个示例文件(xd.library-ms)。

更新内容分析：
- 提交 Create exploit.py: 增加了用于生成恶意.library-ms文件的脚本。该脚本会生成一个xml文件，该文件指向攻击者的SMB服务器。
- 提交 Rename PoC_xd.library-ms to xd.library-ms: 重命名了PoC文件。
- 提交 Create PoC_xd.library-ms: 创建了一个.library-ms的PoC文件，xml文件中配置了指向攻击者SMB服务器的链接。
- 提交 Update README.md: 更新了README.md文件，增加了PoC的类型标识。

漏洞利用方式：攻击者构造一个恶意的.library-ms文件，当受害者在Windows资源管理器中预览该文件时，Windows系统会尝试通过SMB协议连接到攻击者控制的服务器，从而将受害者的NTLM哈希发送给攻击者。攻击者可以使用Responder等工具捕获和破解这些哈希。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 利用.library-ms文件触发NTLM哈希泄露 |
| 2 | PoC代码易于理解和使用 |
| 3 | 影响未修补的Windows系统 |
| 4 | 可导致凭证泄露和进一步的攻击 |

#### 🛠️ 技术细节

> 漏洞原理：Windows处理.library-ms文件时，会尝试解析其中的URL，并进行SMB认证，从而泄露NTLM哈希。

> 利用方法：攻击者制作一个恶意的.library-ms文件，文件内的URL指向攻击者控制的SMB服务器。受害者预览或打开该文件时，触发SMB认证，导致NTLM哈希泄露。

> 修复方案：应用微软官方补丁，禁用NTLM身份验证，限制对不受信任来源的.library-ms文件的访问。


#### 🎯 受影响组件

```
• Windows操作系统
• .library-ms文件处理程序
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该PoC展示了Windows系统中的一个高危漏洞，攻击者可以通过简单的操作获取受害者的NTLM哈希，可以用于凭证窃取等。
</details>

---

### CVE-2024-25600 - Bricks Builder插件RCE漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-04-29 00:00:00 |
| 最后更新 | 2025-04-29 15:10:23 |

#### 📦 相关仓库

- [CVE-2024-25600](https://github.com/cboss43/CVE-2024-25600)

#### 💡 分析概述

该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。该漏洞是一个未经身份验证的远程代码执行(RCE)漏洞，允许攻击者在受影响的WordPress站点上执行任意代码。仓库包含了一个Python脚本，用于检测漏洞、获取nonce并提供交互式shell。  

仓库代码的主要功能包括：
1.  检测WordPress站点是否存在CVE-2024-25600漏洞，通过获取nonce并验证RCE能力。
2.  支持单URL和从文件批量扫描URL。
3.  在确认存在漏洞的站点上启动交互式shell，以执行远程命令。
4.  多线程扫描，提高扫描效率。
5.  详细的输出信息。
6.  将漏洞URL保存到文件。

最新提交主要更新了README.md文件， 增加了漏洞描述，使用说明，以及免责声明。 同时，修复了 exploit.py的bug，包括修复Python3的头部声明，和一些异常处理。  

漏洞利用方式：
攻击者可以构造恶意请求，通过/wp-json/bricks/v1/render_element端点，注入并执行任意PHP代码，从而实现RCE。该漏洞利用不需要身份验证。


#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Bricks Builder插件的RCE漏洞 |
| 2 | 未经身份验证即可执行任意代码 |
| 3 | 影响Bricks Builder 1.9.6及以下版本 |
| 4 | 提供POC及交互式shell |

#### 🛠️ 技术细节

> 漏洞位于Bricks Builder插件的/wp-json/bricks/v1/render_element端点。

> 通过构造恶意请求，注入并执行任意PHP代码。

> 无需身份验证即可触发漏洞，实现远程代码执行。

> 修复方案：升级至Bricks Builder 1.9.7或更高版本。

> 利用PoC已在仓库中提供，并支持交互式shell。


#### 🎯 受影响组件

```
• WordPress Bricks Builder插件
• Bricks Builder <= 1.9.6
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响广泛使用的WordPress Bricks Builder插件，且存在明确的利用代码(POC)，可以远程执行任意代码，风险极高。
</details>

---


## 免责声明
本文内容由 AI 自动生成，仅供参考和学习交流。文章中的观点和建议不代表作者立场，使用本文信息需自行承担风险和责任。