CyberSentinel-AI/results/2025-05-25.md

# 安全资讯日报 2025-05-25

> 本文由AI自动生成，基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
> 
> 更新时间：2025-05-25 04:03:29

<!-- more -->

## 今日资讯

### 🔍 漏洞分析

* [玛莎百货因勒索软件攻击造成4亿美元损失](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247500063&idx=2&sn=9f954024091aca081452f5c1cae5f92a)

### 🔬 安全研究

* [某医院微信小程序签名机制绕过分析](https://mp.weixin.qq.com/s?__biz=MzU3Mjk2NDU2Nw==&mid=2247493408&idx=1&sn=672ff76188ab6c97bc1b8d688ac7228f)
* [揭秘 Windows 卷影复制服务（VSS）：核心机制解析](https://mp.weixin.qq.com/s?__biz=MzAxODM5ODQzNQ==&mid=2247488421&idx=1&sn=a9fb7b47cc4c53014cfbda72f2ea9e7e)

### 🎯 威胁情报

* [开封桑某非法控制计算机罪，被判刑6个月！](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115881&idx=1&sn=231ff73c1df2ed454132535e03b151ba)
* [从广州某科技公司遭境外黑客攻击看BAS的重要性](https://mp.weixin.qq.com/s?__biz=MzI3NzM5NDA0NA==&mid=2247491345&idx=1&sn=ea0500c9a40179593b22e4f4cfc37f9e)
* [DanaBot僵尸网络被破坏，16名嫌疑人被起诉](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247500063&idx=3&sn=ca59ef0c52b3c210223d2c3409e91b20)

### 📚 最佳实践

* [华为云上global 、region 、vpc 、子网 、安全组](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247515734&idx=1&sn=1cac84a8c07e30c9ebaec161d5995cf1)
* [解锁致远OA新姿势：表单自定函数手把手教程，文末有AI自动生成的提示词哦](https://mp.weixin.qq.com/s?__biz=MzkyMzY0MTk2OA==&mid=2247486109&idx=1&sn=16f6837bb9bb836ef83331da35af3835)

### 🍉 吃瓜新闻

* [国外：一周网络安全态势回顾之第100期](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247500063&idx=1&sn=cd8bfd5164f3498adc8385a78fe7a7c4)
* [网络安全行业，假如回暖一定会释放这三个信号](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247491065&idx=1&sn=a53317bedd8c613f7140718fe9ba79eb)

### 📌 其他

* [夸克网盘、UC网盘、阿里网盘不限速下载！手机端提速！](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247487091&idx=1&sn=511f9be607ff96720795feb4677c50e8)
* [迅雷极速版上线！手机电脑同步加速，不限速下载！解锁永久SVIP！](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247487091&idx=2&sn=57b0286ab84c961414ddf5041108876a)
* [夸克网盘批量转存神器：轻松保存，高效分享，拉新必备！](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247487091&idx=3&sn=42e20c405810de7424216069ab49f50c)
* [百度网盘批量转存轻松保存不费力，一键分享技巧，附赠详尽图文操作指南 网盘拉新必备！](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247487091&idx=4&sn=3f891517bf6aae382edb515d74e3433a)
* [分享图片](https://mp.weixin.qq.com/s?__biz=MzI3Njc1MjcxMg==&mid=2247495460&idx=1&sn=8bb6b89acf4f655e24d87090a4e4036b)
* [库存与需求波动的模糊线性规划解决方案](https://mp.weixin.qq.com/s?__biz=Mzg5MDcwOTM4OQ==&mid=2247486092&idx=1&sn=3c5f9506b0d8035252c1aec9ba4dccda)
* [这么多证书，都问报考便宜不？自己进来看吧](https://mp.weixin.qq.com/s?__biz=MzU4MjUxNjQ1Ng==&mid=2247523675&idx=1&sn=ea061759cfeeb07e1814f13a9ca745fb)

## 安全分析
(2025-05-25)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-32433 - Erlang SSH服务器命令执行漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 17:45:16 |

#### 📦 相关仓库

- [CVE-2025-32433](https://github.com/rizky412/CVE-2025-32433)

#### 💡 分析概述

该仓库展示了CVE-2025-32433的PoC。 仓库包含一个Dockerfile用于构建一个易受攻击的Erlang SSH服务器环境，以及一个Python脚本（CVE-2025-32433.py）作为PoC，用于在未经身份验证的情况下通过发送精心构造的SSH消息来执行任意命令。 主要更新包括：
1.  README.md: 添加了关于CVE-2025-32433的描述、安装、使用方法、贡献和联系方式，并链接到官方公告。
2.  CVE-2025-32433.py:  Python脚本，构造了SSH消息，利用pre-auth状态下的exec请求，实现命令执行，写入文件。
3.  Dockerfile: 构建一个基于Debian的Erlang SSH服务器，包含漏洞环境的构建，生成RSA密钥，并暴露端口2222。
4.  ssh_server.erl: Erlang代码，配置了一个简单的SSH服务器，其中`pwdfun`配置为总是返回`true`，允许未授权访问。

漏洞利用方式： PoC利用SSH协议的pre-auth阶段的exec请求，构造恶意的SSH消息，绕过身份验证，触发命令执行，写入文件。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | CVE-2025-32433为Erlang SSH服务器命令执行漏洞。 |
| 2 | PoC利用SSH pre-auth阶段的exec请求，实现命令执行。 |
| 3 | Dockerfile提供了易于复现的漏洞环境。 |
| 4 | PoC代码清晰，易于理解和复现。 |

#### 🛠️ 技术细节

> 漏洞原理： 漏洞存在于Erlang SSH服务器的身份验证流程中，攻击者可以构造恶意的SSH消息，在未通过身份验证的情况下执行任意命令。

> 利用方法： PoC脚本首先发送SSH握手消息，然后构建并发送SSH_MSG_CHANNEL_OPEN消息，再发送SSH_MSG_CHANNEL_REQUEST消息，其中包含'exec'请求，并指定要执行的命令。由于SSH服务器配置的缺陷，将导致命令执行。

> 修复方案：升级Erlang OTP版本；实施严格的身份验证和授权策略；及时更新补丁。


#### 🎯 受影响组件

```
• Erlang OTP SSH 服务器
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响广泛使用的Erlang OTP，且PoC代码已公开，可以直接用于验证和利用，风险极高。
</details>

---

### CVE-2024-25600 - WordPress Bricks Builder RCE漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 17:34:02 |

#### 📦 相关仓库

- [CVE-2024-25600](https://github.com/cboss43/CVE-2024-25600)

#### 💡 分析概述

该仓库提供了针对WordPress Bricks Builder插件（<=1.9.6版本）的未授权远程代码执行（RCE）漏洞的利用代码。仓库包含一个Python脚本（exploit.py）用于检测漏洞、提取nonce、并提供交互式shell进行命令执行。 仓库的更新主要集中在README.md文件的修改和bug修复。更新后的README.md文件提供了更详细的漏洞描述、使用方法、以及免责声明。 exploit.py脚本修改了异常处理和输出信息，提高了脚本的稳定性和用户体验。漏洞的利用方式为通过构造恶意请求，绕过身份验证，在受影响的Bricks Builder插件中执行任意PHP代码。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Bricks Builder插件的未授权RCE漏洞 |
| 2 | 影响版本：<=1.9.6 |
| 3 | 提供交互式shell，方便命令执行 |
| 4 | 利用方式：构造恶意请求执行任意PHP代码 |

#### 🛠️ 技术细节

> 漏洞原理：Bricks Builder插件在处理用户输入时存在安全漏洞，允许未经身份验证的攻击者执行任意PHP代码。

> 利用方法：通过发送构造好的POST请求到/wp-json/bricks/v1/render_element端点，可以触发代码执行。

> 修复方案：更新Bricks Builder插件到1.9.6以上版本；加强输入验证，防止恶意代码注入。


#### 🎯 受影响组件

```
• WordPress
• Bricks Builder插件（<=1.9.6）
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞为未授权RCE，且有明确的利用代码和利用方法，影响广泛使用的WordPress插件，风险极高。
</details>

---

### CVE-2025-0411 - 7-Zip MotW 绕过漏洞 POC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 17:22:25 |

#### 📦 相关仓库

- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)

#### 💡 分析概述

该仓库提供了CVE-2025-0411的PoC，该漏洞允许绕过7-Zip的Mark-of-the-Web (MotW)保护机制。仓库包含了PoC场景，展示了如何通过构造恶意压缩文件来执行任意代码。最近的更新主要集中在README的修改，包括修复链接和更新说明。漏洞利用方式是构造双重压缩的恶意7z文件，绕过MotW保护，最终实现代码执行。该漏洞影响7-Zip的早期版本，危害较高。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 7-Zip MotW 绕过漏洞 |
| 2 | PoC 实现代码执行 |
| 3 | 影响版本低于24.09 |
| 4 | 利用需用户交互 |

#### 🛠️ 技术细节

> 漏洞原理：7-Zip处理压缩文件时，未正确传递MotW标记，导致绕过安全保护

> 利用方法：构造双重压缩的7z文件，诱导用户打开，从而执行任意代码

> 修复方案：升级到7-Zip 24.09或更高版本


#### 🎯 受影响组件

```
• 7-Zip
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响广泛使用的软件，且有PoC，可以实现远程代码执行，危害性高
</details>

---

### CVE-2023-50564 - Pluck CMS RCE via Module Upload

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2023-50564 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 16:18:16 |

#### 📦 相关仓库

- [CVE-2023-50564](https://github.com/glynzr/CVE-2023-50564)

#### 💡 分析概述

该仓库提供了Pluck CMS v4.7.18的远程代码执行(RCE)漏洞的利用代码。仓库包含exploit.py，README.md和requirements.txt。 exploit.py实现了通过上传包含PHP shell的恶意ZIP模块，实现RCE的功能。README.md对漏洞进行了描述，并提供了使用说明。通过对代码变更的分析，可以得知，最新提交加入了exploit.py，用于自动化利用该漏洞。利用方式是通过登录后台，上传恶意zip文件，zip文件中包含shell.php，成功上传后，通过访问shell.php文件触发RCE。代码质量较高，利用逻辑清晰，提供了测试用例。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Pluck CMS v4.7.18 存在RCE漏洞 |
| 2 | 利用方式为上传包含恶意PHP shell的ZIP文件 |
| 3 | 漏洞利用需要管理员权限 |
| 4 | 提供完整的POC代码 |

#### 🛠️ 技术细节

> 漏洞原理：Pluck CMS在处理模块上传时，未对上传的ZIP文件进行充分的验证，导致攻击者可以上传包含恶意PHP代码的模块。

> 利用方法：攻击者需要先登录Pluck CMS的后台，然后上传一个特制的ZIP文件，该ZIP文件包含一个恶意的PHP文件(例如反弹shell)。上传成功后，攻击者可以通过访问上传的PHP文件来执行任意代码。

> 修复方案：升级到修复该漏洞的Pluck CMS版本。对上传的ZIP文件进行严格的校验，包括文件类型、内容等，并对上传的文件进行安全扫描。


#### 🎯 受影响组件

```
• Pluck CMS v4.7.18
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞为RCE，具有完整的利用代码，并且影响广泛使用的CMS系统，具有很高的安全价值。
</details>

---

### CVE-2025-31258 - macOS Sandbox逃逸 PoC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 16:11:37 |

#### 📦 相关仓库

- [CVE-2025-31258-PoC](https://github.com/BODE987/CVE-2025-31258-PoC)

#### 💡 分析概述

该仓库提供了一个针对macOS的沙箱逃逸PoC(CVE-2025-31258)。仓库包含一个Xcode项目，用于演示通过RemoteViewServices实现部分沙箱逃逸。Initial Commit创建了项目结构，包括AppDelegate, ViewController, 和 UI文件。 随后，README.md文件被更新，增加了漏洞概述、安装、使用方法、利用细节、贡献指南、许可证和版本发布等详细内容，并提供了PoC的详细使用方法。PoC的实现方式是调用RemoteViewServices框架中的PBOXDuplicateRequest函数，尝试在沙箱内创建文件, 触发漏洞。根据README描述, 该漏洞可能影响macOS 10.15到11.5版本。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 利用RemoteViewServices实现部分沙箱逃逸。 |
| 2 | PoC代码调用了PBOXDuplicateRequest函数，尝试绕过沙箱限制。 |
| 3 | 漏洞可能影响macOS 10.15-11.5版本。 |
| 4 | PoC提供了一个可运行的Xcode项目，方便复现和验证。 |

#### 🛠️ 技术细节

> 漏洞利用通过发送特制消息给RemoteViewServices来实现。

> PoC代码包含一个可运行的Xcode项目，该项目调用了RemoteViewServices框架中的PBOXDuplicateRequest函数，尝试在沙箱内创建文件

> 修复方案：建议及时更新macOS系统版本；对应用程序进行严格的输入验证；使用沙箱技术有效隔离进程。


#### 🎯 受影响组件

```
• macOS
• RemoteViewServices
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该PoC提供了针对macOS沙箱逃逸的实现，具有实际的漏洞利用价值。它提供了一种绕过沙箱限制的方法，并附带了可运行的PoC代码。虽然是部分逃逸，但仍然可以提供一个绕过沙箱限制的示例。
</details>

---

### CVE-2025-44228 - Office文档RCE漏洞利用

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-44228 |
| 风险等级 | `HIGH` |
| 利用状态 | `理论可行` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 19:59:00 |

#### 📦 相关仓库

- [Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud](https://github.com/Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud)

#### 💡 分析概述

该仓库(https://github.com/Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud)似乎是一个针对Office文档的漏洞利用工具，特别是针对CVE-2025-44228。它可能包含利用Office文档（如DOC文件）的恶意负载和CVE漏洞的构建器。该仓库的更新非常频繁，但都是对LOG文件的简单更新，没有实质性的代码变更，表明项目可能还处于早期开发阶段或正在进行持续测试和调整。 漏洞本身是针对 Office 文档的 RCE 漏洞。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 针对Office文档（DOC, DOCX）的漏洞利用 |
| 2 | 可能利用 CVE-2025-44228 等漏洞 |
| 3 | 针对Office 365等平台 |
| 4 | 包含恶意负载和漏洞构建器，存在RCE风险 |

#### 🛠️ 技术细节

> 利用 Office 文档中的漏洞，例如 CVE-2025-44228，实现远程代码执行。

> 通过构建恶意的 DOC 或 DOCX 文件来触发漏洞。 

> 修复方案：及时更新Office软件，增强安全防护，避免打开来源不明的Office文档。


#### 🎯 受影响组件

```
• Microsoft Office
• Office 365
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该项目针对Office文档的RCE漏洞，涉及到流行的Office软件，具有明确的利用目标，因此价值较高。 仓库可能包含POC或利用代码，存在实际威胁。
</details>

---

### CVE-2024-42009 - Roundcube XSS 邮件内容窃取

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2024-42009 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-05-24 00:00:00 |
| 最后更新 | 2025-05-24 19:15:42 |

#### 📦 相关仓库

- [CVE-2024-42009-PoC](https://github.com/DaniTheHack3r/CVE-2024-42009-PoC)

#### 💡 分析概述

该仓库提供了一个针对 Roundcube Webmail 的存储型跨站脚本 (XSS) 漏洞 (CVE-2024-42009) 的 PoC。仓库包含一个 Python 脚本 `exploit.py`，用于构造恶意 payload 并通过 Roundcube 的联系表单发送。该漏洞允许攻击者注入 JavaScript 代码，当受害者查看邮件时，代码被执行，从而导致邮件内容泄露。

本次提交主要更新包括：
1.  `.gitignore` 文件：添加了Python项目常见的忽略文件，如 `.pyc`, `__pycache__` 等，用于规范版本控制。
2.  `README.md` 文件：提供了漏洞的详细描述，包括漏洞原理、利用方式、受影响范围、使用方法以及 PoC 的运行说明。说明了漏洞是 Roundcube Webmail 版本 1.6.7 的一个 XSS 漏洞，攻击者可以通过构造恶意邮件，利用消息体中的 HTML 解析问题，注入恶意 JavaScript 代码，窃取受害者邮件内容。 README 还提供了 PoC 的使用方法，包括依赖安装、命令行参数说明和预期输出。
3.  `exploit.py` 文件：这是 PoC 的核心代码，实现了 XSS payload 的构造和发送。 该脚本构造了用于窃取邮件内容的 JavaScript payload，并通过 Roundcube 的联系表单发送该 payload。 脚本还启动了一个 HTTP 服务器来接收被盗取的邮件内容，并格式化显示。

漏洞利用方式：攻击者构造包含恶意 JavaScript 代码的邮件，当受害者打开该邮件时，恶意 JavaScript 代码被执行，从而窃取受害者的邮件内容。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Roundcube Webmail 1.6.7 版本存在 XSS 漏洞 |
| 2 | 攻击者可以通过构造恶意邮件注入 JavaScript 代码 |
| 3 | XSS 导致邮件内容泄露 |
| 4 | PoC 提供完整的漏洞利用流程 |

#### 🛠️ 技术细节

> 漏洞原理：Roundcube Webmail 在处理邮件消息体时，对 HTML 内容的过滤和转义不完善，导致攻击者可以注入恶意 JavaScript 代码。

> 利用方法：攻击者构造包含恶意 JavaScript 的邮件，并将其发送给目标用户。当目标用户打开该邮件时，恶意 JavaScript 代码被执行，窃取受害者的邮件内容。

> 修复方案：升级到修复了此漏洞的 Roundcube Webmail 版本。实施输入验证和输出编码，以防止 XSS 攻击。配置内容安全策略 (CSP) 以限制 JavaScript 的执行。


#### 🎯 受影响组件

```
• Roundcube Webmail 1.6.7及可能更早版本
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该 PoC 提供了针对 Roundcube Webmail 的 XSS 漏洞的完整利用流程，影响范围明确，漏洞利用方法清晰，且有可用的 POC。
</details>

---


## 免责声明
本文内容由 AI 自动生成，仅供参考和学习交流。文章中的观点和建议不代表作者立场，使用本文信息需自行承担风险和责任。