# 安全资讯日报 2025-08-10 > 本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。 > > 更新时间:2025-08-10 02:27:14 ## 今日资讯 ### 🔍 漏洞分析 * [Endgame Gear 鼠标配置工具中藏了感染恶意软件](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247493310&idx=1&sn=dd552f91792734f38a3f4d7ca2c8bd85) * [黑客工具 | OA漏洞利用工具 I-Wanna-Get-All](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247522694&idx=1&sn=dfd30fb430144c52e32e111e916389ab) * [从API文档泄露在到未授权用户越权访问](https://mp.weixin.qq.com/s?__biz=Mzg4ODg4NDA2Mw==&mid=2247483905&idx=1&sn=66891f3afb9008bb39b376fb072cf44e) * [Android四大组件常见漏洞](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247522715&idx=1&sn=ba7e78f560cf7ddac8c3159a556dd01e) ### 🎯 威胁情报 * [领导误认为已处理好的5大网络威胁](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652117468&idx=1&sn=376f06afdf92e2141ec07ed986e7c105) * [威胁情报之威胁](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247501243&idx=1&sn=11085f6b3ed5558da44b9065681aafee) ### 🛠️ 安全工具 * [AutoSwaggerAPI安全检测工具](https://mp.weixin.qq.com/s?__biz=Mzk0MjY1ODE5Mg==&mid=2247486729&idx=1&sn=b947a96333f2c520d1572f88c6c4ecab) * [Xtools|httpx和nuclei等工具结果整理模块](https://mp.weixin.qq.com/s?__biz=Mzk3NTc2NDk2MQ==&mid=2247483874&idx=1&sn=6c3c1085dcaef703a8ffbe49a4708b1f) * [NetExec!新一代内网/域渗透神器](https://mp.weixin.qq.com/s?__biz=Mzg2ODYxMzY3OQ==&mid=2247519643&idx=1&sn=f936fc6785b295a25d903339ac76886c) ### 📚 最佳实践 * [通俗易懂话描述虚拟交换机OVS业务流量转发流程](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247516069&idx=1&sn=13cb9a9da5b63452a8d78ba2bb80490e) * [常见的网络安全篡改风险类型及对应防范措施](https://mp.weixin.qq.com/s?__biz=MzUzMDgwMjY1Mg==&mid=2247485771&idx=1&sn=7c0500d3d7d7a892939d3d061c063731) * [企业中运维针对安全的那点事](https://mp.weixin.qq.com/s?__biz=MzkzNjQwOTc4MQ==&mid=2247490590&idx=1&sn=fd3dab07032a3679bcc2bcd8ddf77c69) ### 🍉 吃瓜新闻 * [凌日网络与信息安全团队邀您旁听2025年中会](https://mp.weixin.qq.com/s?__biz=MzkxNjcyMTc0NQ==&mid=2247484526&idx=1&sn=5e21914a6b3521ae422635a593ca29ff) * [行业资讯:三未信安股东“中网投”拟减持其114.00万股](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247492879&idx=1&sn=85d81459cd43d308f3acf926f3906a29) * [川普AI新政背后的网络安全野心](https://mp.weixin.qq.com/s?__biz=MzI1NjQxMzIzMw==&mid=2247497945&idx=1&sn=e1009abff7a31e6da8df643865dcc64d) ### 📌 其他 * [分享图片](https://mp.weixin.qq.com/s?__biz=MzI3Njc1MjcxMg==&mid=2247496078&idx=1&sn=5120cdf310535b823639d8eb28e1db06) * [迷你鼠标连点器!解放双手!大小仅300K!自动神器!](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247488054&idx=1&sn=61ddfa84773517e4d28505b21f88e81a) * [苹果手机视频加密,苹果手机视频加密隐藏](https://mp.weixin.qq.com/s?__biz=MzU2MjU2MzI3MA==&mid=2247484772&idx=1&sn=96ff635f5f3b72c6a2e21531bfe1eb99) * [文件加密解密神器](https://mp.weixin.qq.com/s?__biz=MzU2MjU2MzI3MA==&mid=2247484772&idx=2&sn=d2348ae015cb34bfe7bbcb4a9b5e0669) * [网络安全行业,查询社工库信息违法吗?](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247492874&idx=1&sn=83e078eaaca99f5b648f1bcf941aae72) * [中国台湾省,当然要用五星红旗!](https://mp.weixin.qq.com/s?__biz=Mzg3NzUyMTM0NA==&mid=2247488137&idx=1&sn=23684a7680ecff632a0113f1d46ecc88) * [原创代码 | 倒计时桌面壁纸](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247522734&idx=1&sn=51ccc76a1307ba8de8728aa6479a1adf) ## 安全分析 (2025-08-10) 本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today) ### CVE-2025-24893 - XWiki RCE漏洞,未授权代码执行 #### 📌 漏洞信息 | 属性 | 详情 | |------|------| | CVE编号 | CVE-2025-24893 | | 风险等级 | `CRITICAL` | | 利用状态 | `POC可用` | | 发布时间 | 2025-08-09 00:00:00 | | 最后更新 | 2025-08-09 16:22:12 | #### 📦 相关仓库 - [CVE-2025-24893](https://github.com/D3Ext/CVE-2025-24893) #### 💡 分析概述 该仓库提供了针对 XWiki 15.10.10 版本的一个远程代码执行 (RCE) 漏洞的 POC。 仓库包含了 POC 脚本(CVE-2025-24893.py), 说明文档(README.md) 以及 MIT 许可证。CVE-2025-24893 漏洞存在于 XWiki 的 SolrSearch 宏中,由于未对Groovy代码进行充分的输入验证和过滤,攻击者可以构造恶意请求,执行任意 Groovy 代码。最新的提交添加了 POC 脚本,以及详细的漏洞描述和使用说明。POC 脚本允许用户通过命令行指定目标 URL 和要执行的命令,利用 XWiki 的 SolrSearch 功能实现 RCE。 #### 🔍 关键发现 | 序号 | 发现内容 | |------|----------| | 1 | XWiki 15.10.10 存在未授权 RCE 漏洞 | | 2 | 利用 SolrSearch 宏执行 Groovy 代码 | | 3 | POC 脚本已公开,易于复现 | | 4 | 无需身份验证即可触发漏洞 | #### 🛠️ 技术细节 > 漏洞存在于 XWiki 的 SolrSearch 宏,该宏允许在搜索参数中执行 Groovy 代码。 > POC 通过构造特定的 URL,利用 Groovy 代码执行命令。 > 修复方案是更新 XWiki 至安全版本,或者对 SolrSearch 宏的输入进行严格的过滤和验证。 #### 🎯 受影响组件 ``` • XWiki 15.10.10 ``` #### ⚡ 价值评估
展开查看详细评估 该漏洞为 RCE 漏洞,并且提供了可用的 POC,可直接用于验证和复现,影响了广泛使用的 XWiki 平台。
--- ## 免责声明 本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。