更新

2025-11-04 17:13:53 +00:00 · 2025-07-28 03:00:01 +08:00 · 2025-07-28 03:00:01 +08:00 · d55b44a0ab
commit d55b44a0ab
parent 9957ab1794
1 changed files with 444 additions and 0 deletions
--- a/results/2025-07-28.md
+++ b/results/2025-07-28.md
@ -0,0 +1,444 @@
+
+# 安全资讯日报 2025-07-28
+
+> 本文由AI自动生成，基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
+> 
+> 更新时间：2025-07-28 02:52:03
+
+<!-- more -->
+
+## 今日资讯
+
+### 🔍 漏洞分析
+
+* [能力认证网络安全威胁情报木马分析实操题](https://mp.weixin.qq.com/s?__biz=MzUzMDgwMjY1Mg==&mid=2247485678&idx=1&sn=2978d1113958287085b98edaba524924)
+* [最高严重等级的 Cisco ISE 漏洞允许执行预授权命令，请立即修补](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247493235&idx=1&sn=4d414fc6f4d210765557970ac747109e)
+* [为什么 LinkedIn 会导致1.67 亿个密码被泄漏？](https://mp.weixin.qq.com/s?__biz=MzU2MjU2MzI3MA==&mid=2247484736&idx=1&sn=afa1e597b37b1b779632bd25c1d8dcfc)
+
+### 🔬 安全研究
+
+* [人工智能辅助开发复杂Koske Linux恶意软件](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247501074&idx=2&sn=1b6967c0d7e7feb512ff23f250bc2e74)
+* [JsRpc+Yakit热加载实现明文编辑加密发包](https://mp.weixin.qq.com/s?__biz=MzkwODc1NTgyMg==&mid=2247487406&idx=1&sn=532cfe721b02cc4f543eed235c80f9a6)
+* [什么是软件无线电？](https://mp.weixin.qq.com/s?__biz=MzI3NzQ3NzY4OA==&mid=2247484102&idx=1&sn=4ca7abdddf44976d336dd059fe915792)
+* [Weekly06:N8N实践、RAG科普与Coze开源解读](https://mp.weixin.qq.com/s?__biz=MzI5MjY4MTMyMQ==&mid=2247492203&idx=1&sn=1cc76189c4fa0579967207529c955090)
+
+### 🛠️ 安全工具
+
+* [SensitiveInfoExtractor敏感信息扫描提取工具--- 7.17更新](https://mp.weixin.qq.com/s?__biz=Mzk0MjY1ODE5Mg==&mid=2247486608&idx=1&sn=f3ff95ce4937a94ae6840e95269ec085)
+* [工具推荐 | 自动化快速收集内网配置文件信息](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247495456&idx=1&sn=5938cbaa55f25aecd9b939d17fa79350)
+
+### 📚 最佳实践
+
+* [一图读懂《生成式人工智能服务管理暂行办法》](https://mp.weixin.qq.com/s?__biz=MzUzMDgwMjY1Mg==&mid=2247485680&idx=1&sn=d4b2224f58b8c76cc7523254a39f8dbe)
+* [我无法连接到本地网络上的Synology NAS 。我能做什么？](https://mp.weixin.qq.com/s?__biz=MzU2MjU2MzI3MA==&mid=2247484736&idx=2&sn=8b9ddc1f53cc654e58c55333ab2aff31)
+* [代码审计1：ruoyi环境搭建](https://mp.weixin.qq.com/s?__biz=Mzg4NTg5MDQ0OA==&mid=2247488390&idx=1&sn=e0b34138ecd49fa937e4be99355b2568)
+* [SDL序列课程-第49篇-安全需求-内部信任免登需求-服务间身份认证：深入理解JWT的应用与安全策略](https://mp.weixin.qq.com/s?__biz=Mzk0NzE5NjI0Mg==&mid=2247484769&idx=1&sn=477f80de771fef883cdd062d45506f85)
+
+### 🍉 吃瓜新闻
+
+* [戴尔数据泄露再出反转](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247501074&idx=1&sn=b5672e95aa7d068e2a076eb1657fbfb1)
+* [网络安全行业，2024年安全业务营收排名回顾](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247492476&idx=1&sn=503d446689cc36793aa3db8920e9bec3)
+* [吃瓜护HVV延迟结束](https://mp.weixin.qq.com/s?__biz=Mzg4NDg2NTM3NQ==&mid=2247485109&idx=1&sn=1fec59c7b1f3e8c3355381bfe0c96000)
+* [900亿市场萎缩，安全企业集体“断腕”还是“折叠”？](https://mp.weixin.qq.com/s?__biz=MzAxOTk3NTg5OQ==&mid=2247493177&idx=1&sn=8cf31935592cc408a6cfe5d97b6ad280)
+
+### 📌 其他
+
+* [《人工智能全球治理行动计划》发布](https://mp.weixin.qq.com/s?__biz=MjM5MzMwMDU5NQ==&mid=2649173944&idx=1&sn=d3362c65b9912741e6654b26364c2b51)
+* [IC China 2025：以半导体赋能未来产业、 点亮产业未来](https://mp.weixin.qq.com/s?__biz=MjM5MzMwMDU5NQ==&mid=2649173944&idx=2&sn=a7c3020c45ad5fa114cccfea914cf229)
+* [护网阵营九宫格，看看你属于哪一个](https://mp.weixin.qq.com/s?__biz=MzI5NDg0ODkwMQ==&mid=2247486527&idx=1&sn=982f23ad61247a03a3675a54542b3eb8)
+* [分享图片](https://mp.weixin.qq.com/s?__biz=MzI3Njc1MjcxMg==&mid=2247496006&idx=1&sn=663a844987d2db13bfa87f4acbc0e2fd)
+* [网络安全公司售前人员精进自己全靠一个“勤”字](https://mp.weixin.qq.com/s?__biz=MzI3NzM5NDA0NA==&mid=2247491759&idx=1&sn=3511820b76e059882511d795ce320a4f)
+* [HW结束之自我测评](https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247545387&idx=1&sn=992bfc86bcdcce3f6ac813c6ae2aeddd)
+* [网络安全公司售前人员的”七步心法“](https://mp.weixin.qq.com/s?__biz=MzI3NzM5NDA0NA==&mid=2247491752&idx=1&sn=430b1f67302ac8ea9aeca7926316f5bb)
+
+## 安全分析
+(2025-07-28)
+
+本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)
+
+
+### CVE-2024-43018 - Piwigo 13.8.0及以下版本存在SQL注入漏洞
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2024-43018 |
+| 风险等级 | `HIGH` |
+| 利用状态 | `理论可行` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 16:39:24 |
+
+#### 📦 相关仓库
+
+- [CVE-2024-43018](https://github.com/joaosilva21/CVE-2024-43018)
+
+#### 💡 分析概述
+
+该漏洞源于Piwigo应用中在过滤搜索的参数max_level和min_register的缺乏适当的输入验证，导致攻击者可通过构造恶意参数实现SQL注入，影响包括用户列表等敏感信息，影响版本范围为13.8.0及以下。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 影响Piwigo 13.8.0及以下版本 |
+| 2 | SQL注入影响用户搜索功能 |
+| 3 | 攻击者可利用构造的参数执行SQL操作获取敏感信息 |
+
+#### 🛠️ 技术细节
+
+> 漏洞发生在ws_user_gerList函数中，参数max_level和min_register未充分过滤，导致SQL注入点
+
+> 攻击者通过在请求中插入恶意SQL语句实现信息窃取或权限提升
+
+> 修复建议为对参数进行严格的输入验证和参数化查询
+
+
+#### 🎯 受影响组件
+
+```
+• Piwigo 13.8.0及以下版本
+• ws_user_gerList函数，位于include/ws_functions/pwg.users.php
+```
+
+#### 💻 代码分析
+
+**分析 1**:
+> 提交内容详细描述了SQL注入漏洞和影响版本，包含具体的漏洞描述与影响范围。
+
+**分析 2**:
+> 没有提供具体的POC或利用代码，但描述了漏洞位置和原理。
+
+**分析 3**:
+> 代码变更部分未显示具体代码，仅为README的内容修改，说明漏洞细节在描述中明确，可用于后续验证。
+
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞影响广泛使用的Piwigo图片社区管理软件，且存在明确的SQL注入漏洞细节，理论上可被利用执行远程SQL注入攻击，可能导致敏感信息泄露，具有较高的安全风险。
+</details>
+
+---
+
+### CVE-2025-53770 - SharePoint反序列化漏洞导致远程代码执行
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-53770 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 15:17:16 |
+
+#### 📦 相关仓库
+
+- [-SOC342---CVE-2025-53770-SharePoint-ToolShell-Auth-Bypass-and-RCE](https://github.com/bossnick98/-SOC342---CVE-2025-53770-SharePoint-ToolShell-Auth-Bypass-and-RCE)
+
+#### 💡 分析概述
+
+该漏洞利用SharePoint Server在反序列化未受信任数据时存在漏洞，攻击者可通过特制请求远程执行代码。攻击链包括通过Webshell、PowerShell命令提取敏感配置、编译恶意代码，最终实现远程命令执行与持久化控场。攻击已经在实际环境中观察到，并提供了具体利用示例和POC代码。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 漏洞点在SharePoint的反序列化机制，涉及远程代码执行 |
+| 2 | 攻击路径复杂，涵盖Webshell植入、PowerShell操作、恶意程序编译与部署 |
+| 3 | 攻击者可通过上述方法远程控制受影响服务器，获取敏感信息或控制权限 |
+
+#### 🛠️ 技术细节
+
+> 漏洞原理基于反序列化未受信任数据引发的远程代码执行，利用PowerShell命令提取敏感配置，部署webshell进行持久化控制
+
+> 利用链：注入Webshell、利用PowerShell反射调用获取配置、编译恶意程序、部署Webshell，最终实现远程控制
+
+> 修复方案包括：应用Microsoft提供的安全补丁、升级到支持版本、关闭相关反序列化接口、加强访问控制、监测异常行为
+
+
+#### 🎯 受影响组件
+
+```
+• Microsoft SharePoint Server
+```
+
+#### 💻 代码分析
+
+**分析 1**:
+> 提供的利用流程包括Webshell创建、PowerShell命令反射调用、C#代码编译执行，具备较高的实用性和完整性
+
+**分析 2**:
+> 测试用例未明确展示，但详细描述的攻击链和漏洞细节支持其有效性
+
+**分析 3**:
+> 代码质量较高，利用链完整，具有较强的实用性和攻击成功率，适合作为安全检测和防御参考
+
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞影响关键企业信息基础设施，存在远程代码执行的明确利用链，攻击手段具体且实用，已经存在POC，造成的潜在危害极大，包括数据泄露、系统控制等，价值极高。
+</details>
+
+---
+
+### CVE-2025-47812 - Wing FTP Server Lua注入漏洞
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-47812 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `漏洞利用可用` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 18:36:01 |
+
+#### 📦 相关仓库
+
+- [CVE-2025-47812](https://github.com/r0otk3r/CVE-2025-47812)
+
+#### 💡 分析概述
+
+该仓库提供了针对 Wing FTP Server 的 Lua 注入漏洞（CVE-2025-47812）的PoC和相关信息。代码仓库主要包含一个 Python 脚本 (wingftp_cve_2025_47812.py) 用于利用该漏洞，以及 README.md 文件，详细描述了漏洞信息、利用方法、示例和免责声明。代码仓库的功能是实现远程代码执行 (RCE) 攻击。PoC脚本构建了一个恶意payload，通过向loginok.html页面发送POST请求，注入Lua代码，从而执行任意命令。README.md文档提供了详细的使用说明，包括如何使用该脚本进行漏洞利用，并提供了Burpsuite的请求/响应截图，直观展示了漏洞利用过程。最新的代码更新增加了python脚本，能够进行远程代码执行，并且增加了交互模式。漏洞的利用是通过构造用户名和密码，将payload注入到登录请求中，payload中包含Lua代码，最终导致服务器执行恶意命令。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | Wing FTP Server < 7.4.4 版本存在远程代码执行 (RCE) 漏洞 |
+| 2 | 通过 Lua 注入实现，可执行任意系统命令 |
+| 3 | 提供 Python PoC 脚本，易于复现 |
+| 4 | 影响范围明确，针对特定版本，可直接RCE |
+
+#### 🛠️ 技术细节
+
+> 漏洞原理：服务器在处理用户登录时，对用户名和密码的输入未进行充分的过滤和验证，导致可以注入恶意 Lua 代码。
+
+> 利用方法：构造包含恶意 Lua 代码的 POST 请求，发送到 /loginok.html 端点。该 Lua 代码将执行任意系统命令。
+
+> 修复方案：升级到 Wing FTP Server 7.4.4 或更高版本，或者加强对用户输入数据的过滤和验证。
+
+
+#### 🎯 受影响组件
+
+```
+• Wing FTP Server < 7.4.4
+```
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞允许远程代码执行，影响关键的FTP服务器，并且提供了可用的PoC，具有明确的利用方法和影响范围，因此价值极高。
+</details>
+
+---
+
+### CVE-2025-44228 - Office文档中的CVE-2025-44228漏洞利用Poc
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2025-44228 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 18:32:27 |
+
+#### 📦 相关仓库
+
+- [Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud](https://github.com/Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud)
+
+#### 💡 分析概述
+
+该漏洞影响Office平台，通过恶意的DOC文件进行漏洞利用，能实现远程代码执行，影响广泛且具有成熟的利用代码，已被开发成EXP工具。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 利用恶意Office文档实现远程代码执行 |
+| 2 | 影响Office 365等广泛使用的办公平台 |
+| 3 | 存在成熟的利用工具和Poc代码 |
+
+#### 🛠️ 技术细节
+
+> 基于Office文档中的漏洞，利用特制的payload触发远程代码执行
+
+> 利用工具采用silent exploit builder，简化攻击流程
+
+> 建议升级或应用安全补丁，避免被恶意利用
+
+
+#### 🎯 受影响组件
+
+```
+• Microsoft Office（包括Office 365）
+• 支持的文档类型（DOC, DOCX）
+```
+
+#### 💻 代码分析
+
+**分析 1**:
+> 提供的仓库包含完整的EXP/POC代码，代码结构清晰，容易被采用于攻击测试和验证
+
+**分析 2**:
+> 最新提交表明代码连续更新，工具成熟
+
+**分析 3**:
+> 代码质量较高，包含测试用例，实用性强
+
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞影响广泛的Office平台，具有已存在的成熟利用代码和POC，可能造成严重的远程代码执行风险，符合高危漏洞价值标准。
+</details>
+
+---
+
+### CVE-2023-42931 - macOS本地权限提升漏洞。
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2023-42931 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 18:13:12 |
+
+#### 📦 相关仓库
+
+- [CVE-2023-42931](https://github.com/tageniu/CVE-2023-42931)
+
+#### 💡 分析概述
+
+该漏洞利用特定版本macOS系统中的权限管理缺陷，通过修改文件权限和挂载参数实现本地提权，影响范围包括macOS 12.0至14.1.2多个版本。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 漏洞通过修改挂载参数和文件权限实现本地提权。 |
+| 2 | 影响macOS 12.0至14.1.2版本，存在完整的POC代码。 |
+| 3 | 是否需要物理访问或已登录系统，利用条件未详述。 |
+| 4 | 影响范围广泛，具有实际利用代码。 |
+
+#### 🛠️ 技术细节
+
+> 原理：利用挂载选项noowners绕过权限限制，复制setuid二进制文件实现提权。
+
+> 利用方法：创建带setuid权限的shell，挂载文件系统，复制二进制，执行即可获得root权限。
+
+> 修复方案：加强挂载权限控制，修补系统权限管理漏洞。
+
+
+#### 🎯 受影响组件
+
+```
+• macOS 12.0 到 14.1.2版本
+```
+
+#### 💻 代码分析
+
+**分析 1**:
+> 提供完整POC脚本，能够实现漏洞利用。
+
+**分析 2**:
+> 包含详细的测试用例，验证提权效果。
+
+**分析 3**:
+> 代码结构清晰，具备可用性和复现性。
+
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+具有完整的POC代码，影响广泛版本，利用条件明确，已展示出可实际利用的能力，属于高危本地提权漏洞。
+</details>
+
+---
+
+### CVE-2024-36991 - Splunk Enterprise 任意文件读取漏洞
+
+#### 📌 漏洞信息
+
+| 属性 | 详情 |
+|------|------|
+| CVE编号 | CVE-2024-36991 |
+| 风险等级 | `CRITICAL` |
+| 利用状态 | `POC可用` |
+| 发布时间 | 2025-07-27 00:00:00 |
+| 最后更新 | 2025-07-27 17:42:56 |
+
+#### 📦 相关仓库
+
+- [CVE-2024-36991-Tool](https://github.com/TheStingR/CVE-2024-36991-Tool)
+
+#### 💡 分析概述
+
+CVE-2024-36991 是影响特定版本Splunk的远程未授权文件读取漏洞，攻击者可利用Crafted请求在Windows环境下读取敏感文件，如密码文件和配置文件，从而导致信息泄露。该漏洞存在于 /modules/messaging/ 接口，利用路径穿越实现未授权访问。
+
+#### 🔍 关键发现
+
+| 序号 | 发现内容 |
+|------|----------|
+| 1 | 漏洞点为Splunk Web接口的路径穿越漏洞，允许读取任意文件。 |
+| 2 | 已存在模组化的PoC工具，可自动化提取敏感文件。 |
+| 3 | 攻击无需认证，远程即可利用，且具有明显的利用代码和测试样例。 |
+
+#### 🛠️ 技术细节
+
+> 该漏洞通过发起特制请求，利用路径穿越特性，绕过安全限制读取系统文件。
+
+> 利用该PoC脚本向目标Splunk实例发送crafted请求，成功获取敏感文件内容并存储。
+
+> 建议升级Splunk版本至已修复的9.2.2、9.1.5或9.0.10，并禁用不必要的Web功能。
+
+
+#### 🎯 受影响组件
+
+```
+• Splunk Enterprise（Windows环境，版本低于9.2.2/9.1.5/9.0.10）
+```
+
+#### 💻 代码分析
+
+**分析 1**:
+> PoC脚本具备良好的代码结构和实用性，包含模块化设计，方便目标文件分类提取。
+
+**分析 2**:
+> 测试用例验证了漏洞的实用性和效果，验证方式明确。
+
+**分析 3**:
+> 代码质量较高，容易理解和复现，有效体现了漏洞利用流程。
+
+
+#### ⚡ 价值评估
+
+<details>
+<summary>展开查看详细评估</summary>
+
+该漏洞影响广泛流行的Splunk监控平台，存在远程未授权读取敏感文件的能力，已有成熟PoC，且可自动化攻击，严重威胁企业信息安全，具有极高的利用价值。
+</details>
+
+---
+
+
+## 免责声明
+本文内容由 AI 自动生成，仅供参考和学习交流。文章中的观点和建议不代表作者立场，使用本文信息需自行承担风险和责任。