# 每日安全资讯 (2025-10-09)

今日未发现新的安全文章，以下是 AI 分析结果：

# AI 安全分析日报 (2025-10-09)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-48799 - Windows Update提权漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-48799 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-10-08 00:00:00 |
| 最后更新 | 2025-10-08 15:10:53 |

#### 📦 相关仓库

- [CVE-2025-48799](https://github.com/ukisshinaah/CVE-2025-48799)

#### 💡 分析概述

该漏洞 (CVE-2025-48799) 存在于Windows Update 服务中，允许通过在多硬盘系统中删除任意文件夹来实现权限提升。该PoC代码仓库提供了一个概念验证(PoC)程序，旨在演示此漏洞。 仓库更新频繁，包含了README.md和interjangle/CVE-2025-48799.zip (PoC程序)。PoC程序通过更改新内容的保存位置，导致Windows Update 服务在安装新应用程序时未正确检查符号链接，从而允许攻击者删除任意文件夹，实现本地权限提升(LPE)。虽然ZDI博客提供了相关技术细节，但该仓库提供的PoC尚未经过充分测试，且依赖于特定配置环境。 漏洞利用可能涉及修改文件系统，因此需要谨慎评估其潜在影响。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 漏洞位于Windows Update服务，影响Windows 10/11，且需要至少两个硬盘。 |
| 2 | 攻击者通过更改应用安装位置，触发Windows Update服务删除任意文件夹。 |
| 3 | 漏洞利用可导致本地权限提升(LPE)。 |
| 4 | PoC代码已提供，但尚未完全验证，实用性依赖于环境。 |

#### 🛠️ 技术细节

> 漏洞利用涉及操纵文件系统的存储感知功能，并利用Windows Update服务(wuauserv)在删除文件夹时缺乏对符号链接的检查。

> 攻击步骤包括：更改应用安装位置到第二个硬盘，触发Windows Update安装，使服务错误地删除指定文件夹。

> 漏洞利用成功后，攻击者可获得更高的权限，但具体危害程度取决于被删除文件夹的内容。


#### 🎯 受影响组件

```
• Windows 10
• Windows 11
• Windows Update Service (wuauserv)
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响范围广，涉及Windows核心组件，且PoC已公开。尽管利用难度可能受限于特定环境，但LPE的危害不容忽视，且PoC的出现使得漏洞更容易被复现和利用。
</details>

---

### CVE-2025-0411 - 7-Zip MotW 绕过漏洞 (CVE-2025-0411)

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-10-08 00:00:00 |
| 最后更新 | 2025-10-08 18:46:15 |

#### 📦 相关仓库

- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)

#### 💡 分析概述

该仓库提供了CVE-2025-0411漏洞的PoC，该漏洞允许绕过7-Zip的Mark-of-the-Web（MotW）保护机制。攻击者可以构造恶意压缩包，当用户解压时，绕过安全提示，执行任意代码。仓库包含PoC实现，展示了如何通过双重压缩等方式绕过MotW，执行calc.exe。通过分析仓库的README.md文件，可以了解到漏洞的利用方法，包括武器化、投放和执行。多次提交记录显示了仓库的更新和完善过程，包括修复CVE链接等。最新更新主要集中在README.md文件的内容优化，对漏洞细节和仓库功能进行了更详细的说明。该漏洞利用较为简单，威胁等级较高。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 漏洞允许绕过7-Zip的MotW保护机制。 |
| 2 | 攻击者可构造恶意压缩包，执行任意代码。 |
| 3 | PoC演示了双重压缩绕过MotW。 |
| 4 | 漏洞利用相对简单，需要用户交互。 |

#### 🛠️ 技术细节

> 漏洞原理：7-Zip在处理压缩文件时，未正确传递MotW信息，导致解压后文件失去安全标记。

> 利用方法：构造恶意压缩包，通过双重压缩等方式绕过MotW，诱导用户解压并执行。

> 修复方案：升级到7-Zip 24.09或更高版本，或者谨慎处理来自不可信来源的文件。


#### 🎯 受影响组件

```
• 7-Zip (所有低于 24.09 版本)
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响广泛使用的7-Zip软件，利用难度较低，存在远程代码执行的风险，一旦被利用，后果严重，因此具有较高的威胁价值。
</details>

---

### CVE-2025-10353 - Melis Platform 文件上传RCE

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-10353 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-10-08 00:00:00 |
| 最后更新 | 2025-10-08 18:42:44 |

#### 📦 相关仓库

- [CVE-2025-10353-POC](https://github.com/ivansmc00/CVE-2025-10353-POC)

#### 💡 分析概述

该仓库提供了CVE-2025-10353的PoC，该漏洞存在于Melis Platform框架的`melis-cms-slider`模块中，允许未经身份验证的攻击者通过上传恶意文件实现远程代码执行（RCE）。仓库包含一个Burp Suite导出的原始HTTP请求PoC文件，用于上传恶意PHP文件。漏洞利用通过`mcsdetail_img`参数上传文件，并通过`mcsdetail_mcslider_id`参数控制上传目录。由于Melis Platform的特殊性，此漏洞危害较高，攻击者可以完全控制服务器，窃取敏感数据或进一步渗透。INCIBE已发布安全警告。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 文件上传漏洞允许上传恶意PHP文件。 |
| 2 | 通过参数`mcsdetail_mcslider_id`控制上传目录，可上传到Web可访问目录。 |
| 3 | PoC提供Burp Suite导出的HTTP请求，方便复现。 |
| 4 | 未经身份验证即可利用，利用门槛低，危害高。 |
| 5 | 攻击者可以完全控制服务器，获取敏感数据或进一步渗透 |

#### 🛠️ 技术细节

> 漏洞成因：`melis-cms-slider`模块的`saveDetailsForm`功能未对上传文件进行充分的校验和过滤，导致可上传恶意文件。

> 利用方法：构造包含恶意PHP代码的POST请求，将文件上传至目标服务器指定目录。

> 修复方案：实施严格的文件类型校验，对上传的文件进行安全检查，对文件名进行过滤，并设置合理的目录访问权限。


#### 🎯 受影响组件

```
• Melis Platform `melis-cms-slider`模块
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞为未经身份验证的文件上传RCE，利用难度低，危害极高，可导致服务器完全控制，敏感信息泄露，应优先关注。
</details>

---