14 KiB
安全资讯日报 2025-05-27
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-05-27 02:28:42
今日资讯
🔍 漏洞分析
🔬 安全研究
🎯 威胁情报
- 警察是如何通过一个IP地址找到你家门口的?看完一身冷汗!
- AI挖情报比尔和梅林达·盖茨基金会、全球疫苗免疫联盟、疫苗联盟、威康信托基金和流行病防范创新联盟是啥关系?
- 危险信号!韩华海洋成美印太战略 “棋子”
🛠️ 安全工具
- C语言构建 | 替代frp 过卡巴斯基、360、火绒、defender的xlfrc v1.9发布!
- 全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测
- Ladon渗透机器人 -- ChatLadon
- Google信息收集插件 - PolarisScan
📚 最佳实践
- 攻防随手记之阿里云防护微对抗
- 等级保护法律法规依据一瞥更新(2025-05-25)
- 电信行业关键信息基础设施安全保护 安全管理总体要求(思维导图)
- 如何应对数据泄露——综合指南
- 零基础转行信息安全,老师傅来支招(2025年最新数据支撑)
🍉 吃瓜新闻
📌 其他
安全分析
(2025-05-27)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2024-25600 - Bricks Builder插件RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:21:07 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对WordPress Bricks Builder插件CVE-2024-25600漏洞的利用程序。仓库整体是一个Python脚本,用于检测目标WordPress网站是否存在漏洞,并提供一个交互式shell进行远程代码执行。最新提交修改了README.md文件,更新了exploit的描述,添加了下载exploit的链接和一些相关信息,旨在提升用户对该漏洞的认知和安全意识。同时修复了一些bug, 例如修复了python的调用方式。该漏洞允许未经身份验证的攻击者在Bricks Builder插件的1.9.6及以下版本上执行任意代码。利用方法是构造特定的请求,通过/wp-json/bricks/v1/render_element端点注入恶意PHP代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 未授权远程代码执行(RCE)漏洞 |
| 2 | 影响WordPress Bricks Builder插件 |
| 3 | 提供交互式shell |
| 4 | 利用方式清晰,POC/EXP可用 |
| 5 | 受影响版本明确 |
🛠️ 技术细节
漏洞存在于Bricks Builder插件的
/wp-json/bricks/v1/render_element端点,未授权可访问
通过构造包含恶意代码的JSON请求,可以执行任意PHP代码
提供的Python脚本可以检测漏洞,并提供交互式shell进行命令执行
修复方案是升级到Bricks Builder插件的最新版本
🎯 受影响组件
• WordPress Bricks Builder插件
• WordPress
⚡ 价值评估
展开查看详细评估
该漏洞为未授权RCE,影响广泛使用的WordPress插件,且提供了可用的利用代码和明确的利用方法,风险极高。
CVE-2025-0411 - 7-Zip MotW绕过漏洞,可RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:08:50 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞存在于7-Zip中,允许绕过Mark-of-the-Web (MotW)保护机制。仓库的主要功能是提供POC场景,演示如何通过构造恶意压缩包,绕过MotW保护,从而在用户系统上执行任意代码。 仓库包含了README.md文件,详细介绍了漏洞细节、受影响版本、缓解措施以及POC的使用方法。通过双重压缩可执行文件,并将其上传到服务器,再通过钓鱼邮件等方式诱导用户下载并解压文件,从而绕过MotW保护。 漏洞的利用方式是通过构造恶意的7z压缩文件,其中包含可执行文件。当用户解压该文件时,7-Zip未能正确传播MotW标识到解压后的文件,导致用户可以直接执行恶意代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip MotW 绕过漏洞 |
| 2 | 影响版本:所有24.09之前的7-Zip版本 |
| 3 | 利用方式:构造恶意压缩包,诱导用户解压 |
| 4 | 危害:RCE |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时,未正确传播MotW标识
利用方法:构造包含恶意文件的7z压缩包,并通过钓鱼等方式诱导用户解压
修复方案:升级到7-Zip 24.09或更高版本
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞可导致远程代码执行 (RCE),且有明确的利用方法和POC。影响广泛使用的7-Zip,风险较高。
CVE-2025-32433 - Erlang SSH Server 未授权写文件
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 14:32:07 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-32433的PoC和相关代码。仓库包含一个Dockerfile用于构建一个易受攻击的Erlang SSH服务器,以及一个Python脚本作为PoC,通过SSH协议进行未授权的文件写入。代码更新包括:
- README.md 文件被更新,增加了关于CVE的描述,以及安装、使用和贡献的说明。 这部分内容增加了关于漏洞的背景信息和指导。
- 添加了CVE-2025-32433.py,这是一个Python脚本,用于利用漏洞,它通过构造SSH消息,绕过身份验证,向服务器发送命令,最终实现在服务器上写入一个文件。
- 添加了Dockerfile, 用于构建一个包含Erlang/OTP和ssh_server.erl的Docker镜像,方便复现漏洞。
- 添加了ssh_server.erl, 包含启动一个易受攻击的 SSH 服务器的Erlang代码,用于验证漏洞。
PoC的利用方式: PoC利用了SSH协议中的某些漏洞,可以绕过身份验证并执行命令。具体流程如下:
- 建立SSH连接。
- 发送一个精心构造的SSH_MSG_KEXINIT消息以初始化密钥交换。
- 发送SSH_MSG_CHANNEL_OPEN消息建立一个通道。
- 发送SSH_MSG_CHANNEL_REQUEST消息,其中包含一个'exec'请求,用于在目标服务器上执行任意命令。PoC中,该命令是写文件操作,向服务器写入一个名为/lab.txt的文件。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 未授权的文件写入漏洞。 |
| 2 | 利用SSH协议绕过身份验证。 |
| 3 | PoC代码已提供并可用。 |
| 4 | 影响版本: Erlang SSH Server |
| 5 | 漏洞易于复现 |
🛠️ 技术细节
漏洞原理: 通过构造恶意的SSH消息序列,绕过身份验证机制,进而执行任意命令。
利用方法: 使用提供的Python脚本(CVE-2025-32433.py)连接到目标SSH服务器,发送构造好的SSH消息,触发漏洞,实现文件写入。
修复方案: 升级Erlang/OTP版本,并实施严格的身份验证和授权机制。
🎯 受影响组件
• Erlang SSH Server
⚡ 价值评估
展开查看详细评估
该CVE具有RCE特性,提供了可用的PoC,可以实现文件写入,对服务器的安全有直接威胁。 此外,漏洞细节明确,易于复现。
CVE-2025-31258 - macOS sandbox逃逸(RemoteView)
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:55:46 |
📦 相关仓库
💡 分析概述
该仓库是一个针对CVE-2025-31258的PoC,旨在演示使用RemoteViewServices部分逃逸macOS沙箱。仓库包含一个Xcode项目,其中包含一个简单的macOS应用程序。该应用程序包含一个按钮,点击后会调用一个poc函数,该函数尝试通过PBOXDuplicateRequest函数复制Documents目录。最近一次更新在README.md中添加了关于PoC的详细介绍,包括概述、安装、使用、漏洞细节、贡献、许可和版本发布等部分。README.md也说明了该漏洞影响macOS 10.15到11.5版本,成功利用可能允许攻击者在沙箱外执行任意代码。漏洞的攻击向量是发送精心构造的消息到RemoteViewServices,并操纵数据流来绕过安全检查。仓库还提供了一些基本的MITIGATION策略,包括更新 macOS版本、实施严格的输入验证和使用沙箱技术等。
漏洞利用方式:通过调用PBOXDuplicateRequest函数,拷贝Documents目录,绕过sandbox限制。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用RemoteViewServices进行沙箱逃逸 |
| 2 | 影响macOS 10.15 to 11.5 |
| 3 | PoC包含可执行代码 |
| 4 | 通过PBOXDuplicateRequest绕过沙箱 |
| 5 | 提供了MITIGATION策略 |
🛠️ 技术细节
漏洞利用核心在于RemoteViewServices框架
通过发送恶意消息和数据流实现逃逸
PoC代码调用PBOXDuplicateRequest函数进行沙箱逃逸
修复方案: 更新macOS,实施输入验证,使用沙箱技术隔离进程
🎯 受影响组件
• macOS
• RemoteViewServices
⚡ 价值评估
展开查看详细评估
PoC提供了可执行代码,演示了通过RemoteViewServices进行沙箱逃逸的方法,影响范围明确,具有实际的利用价值。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。