21 KiB
安全资讯日报 2025-05-27
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-05-27 06:31:53
今日资讯
🔍 漏洞分析
🔬 安全研究
- 安卓逆向 -- CE动态调试APP应用
- Claude Opus 4 对《利用Claude3.7逆向二进制程序》中程序的再测试
- JOY靶机通关笔记
- 中国从俄乌冲突中汲取的教训:感知的新战略机遇与混合战争新模式的出现
- 不对称作战下无人机于通信中继之应用:以商规多旋翼无人机为例
- 俄乌战争对反恐行动的影响
🎯 威胁情报
- 警察是如何通过一个IP地址找到你家门口的?看完一身冷汗!
- AI挖情报比尔和梅林达·盖茨基金会、全球疫苗免疫联盟、疫苗联盟、威康信托基金和流行病防范创新联盟是啥关系?
- 危险信号!韩华海洋成美印太战略 “棋子”
🛠️ 安全工具
- C语言构建 | 替代frp 过卡巴斯基、360、火绒、defender的xlfrc v1.9发布!
- 全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测
- Ladon渗透机器人 -- ChatLadon
- Google信息收集插件 - PolarisScan
- netsh端口转发工具
📚 最佳实践
- 攻防随手记之阿里云防护微对抗
- 等级保护法律法规依据一瞥更新(2025-05-25)
- 电信行业关键信息基础设施安全保护 安全管理总体要求(思维导图)
- 如何应对数据泄露——综合指南
- 零基础转行信息安全,老师傅来支招(2025年最新数据支撑)
🍉 吃瓜新闻
📌 其他
安全分析
(2025-05-27)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2024-25600 - Bricks Builder插件RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:21:07 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对WordPress Bricks Builder插件CVE-2024-25600漏洞的利用程序。仓库整体是一个Python脚本,用于检测目标WordPress网站是否存在漏洞,并提供一个交互式shell进行远程代码执行。最新提交修改了README.md文件,更新了exploit的描述,添加了下载exploit的链接和一些相关信息,旨在提升用户对该漏洞的认知和安全意识。同时修复了一些bug, 例如修复了python的调用方式。该漏洞允许未经身份验证的攻击者在Bricks Builder插件的1.9.6及以下版本上执行任意代码。利用方法是构造特定的请求,通过/wp-json/bricks/v1/render_element端点注入恶意PHP代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 未授权远程代码执行(RCE)漏洞 |
| 2 | 影响WordPress Bricks Builder插件 |
| 3 | 提供交互式shell |
| 4 | 利用方式清晰,POC/EXP可用 |
| 5 | 受影响版本明确 |
🛠️ 技术细节
漏洞存在于Bricks Builder插件的
/wp-json/bricks/v1/render_element端点,未授权可访问
通过构造包含恶意代码的JSON请求,可以执行任意PHP代码
提供的Python脚本可以检测漏洞,并提供交互式shell进行命令执行
修复方案是升级到Bricks Builder插件的最新版本
🎯 受影响组件
• WordPress Bricks Builder插件
• WordPress
⚡ 价值评估
展开查看详细评估
该漏洞为未授权RCE,影响广泛使用的WordPress插件,且提供了可用的利用代码和明确的利用方法,风险极高。
CVE-2025-0411 - 7-Zip MotW绕过漏洞,可RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:08:50 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞存在于7-Zip中,允许绕过Mark-of-the-Web (MotW)保护机制。仓库的主要功能是提供POC场景,演示如何通过构造恶意压缩包,绕过MotW保护,从而在用户系统上执行任意代码。 仓库包含了README.md文件,详细介绍了漏洞细节、受影响版本、缓解措施以及POC的使用方法。通过双重压缩可执行文件,并将其上传到服务器,再通过钓鱼邮件等方式诱导用户下载并解压文件,从而绕过MotW保护。 漏洞的利用方式是通过构造恶意的7z压缩文件,其中包含可执行文件。当用户解压该文件时,7-Zip未能正确传播MotW标识到解压后的文件,导致用户可以直接执行恶意代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip MotW 绕过漏洞 |
| 2 | 影响版本:所有24.09之前的7-Zip版本 |
| 3 | 利用方式:构造恶意压缩包,诱导用户解压 |
| 4 | 危害:RCE |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时,未正确传播MotW标识
利用方法:构造包含恶意文件的7z压缩包,并通过钓鱼等方式诱导用户解压
修复方案:升级到7-Zip 24.09或更高版本
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞可导致远程代码执行 (RCE),且有明确的利用方法和POC。影响广泛使用的7-Zip,风险较高。
CVE-2025-32433 - Erlang SSH Server 未授权写文件
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 14:32:07 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-32433的PoC和相关代码。仓库包含一个Dockerfile用于构建一个易受攻击的Erlang SSH服务器,以及一个Python脚本作为PoC,通过SSH协议进行未授权的文件写入。代码更新包括:
- README.md 文件被更新,增加了关于CVE的描述,以及安装、使用和贡献的说明。 这部分内容增加了关于漏洞的背景信息和指导。
- 添加了CVE-2025-32433.py,这是一个Python脚本,用于利用漏洞,它通过构造SSH消息,绕过身份验证,向服务器发送命令,最终实现在服务器上写入一个文件。
- 添加了Dockerfile, 用于构建一个包含Erlang/OTP和ssh_server.erl的Docker镜像,方便复现漏洞。
- 添加了ssh_server.erl, 包含启动一个易受攻击的 SSH 服务器的Erlang代码,用于验证漏洞。
PoC的利用方式: PoC利用了SSH协议中的某些漏洞,可以绕过身份验证并执行命令。具体流程如下:
- 建立SSH连接。
- 发送一个精心构造的SSH_MSG_KEXINIT消息以初始化密钥交换。
- 发送SSH_MSG_CHANNEL_OPEN消息建立一个通道。
- 发送SSH_MSG_CHANNEL_REQUEST消息,其中包含一个'exec'请求,用于在目标服务器上执行任意命令。PoC中,该命令是写文件操作,向服务器写入一个名为/lab.txt的文件。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 未授权的文件写入漏洞。 |
| 2 | 利用SSH协议绕过身份验证。 |
| 3 | PoC代码已提供并可用。 |
| 4 | 影响版本: Erlang SSH Server |
| 5 | 漏洞易于复现 |
🛠️ 技术细节
漏洞原理: 通过构造恶意的SSH消息序列,绕过身份验证机制,进而执行任意命令。
利用方法: 使用提供的Python脚本(CVE-2025-32433.py)连接到目标SSH服务器,发送构造好的SSH消息,触发漏洞,实现文件写入。
修复方案: 升级Erlang/OTP版本,并实施严格的身份验证和授权机制。
🎯 受影响组件
• Erlang SSH Server
⚡ 价值评估
展开查看详细评估
该CVE具有RCE特性,提供了可用的PoC,可以实现文件写入,对服务器的安全有直接威胁。 此外,漏洞细节明确,易于复现。
CVE-2025-31258 - macOS sandbox逃逸(RemoteView)
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 16:55:46 |
📦 相关仓库
💡 分析概述
该仓库是一个针对CVE-2025-31258的PoC,旨在演示使用RemoteViewServices部分逃逸macOS沙箱。仓库包含一个Xcode项目,其中包含一个简单的macOS应用程序。该应用程序包含一个按钮,点击后会调用一个poc函数,该函数尝试通过PBOXDuplicateRequest函数复制Documents目录。最近一次更新在README.md中添加了关于PoC的详细介绍,包括概述、安装、使用、漏洞细节、贡献、许可和版本发布等部分。README.md也说明了该漏洞影响macOS 10.15到11.5版本,成功利用可能允许攻击者在沙箱外执行任意代码。漏洞的攻击向量是发送精心构造的消息到RemoteViewServices,并操纵数据流来绕过安全检查。仓库还提供了一些基本的MITIGATION策略,包括更新 macOS版本、实施严格的输入验证和使用沙箱技术等。
漏洞利用方式:通过调用PBOXDuplicateRequest函数,拷贝Documents目录,绕过sandbox限制。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用RemoteViewServices进行沙箱逃逸 |
| 2 | 影响macOS 10.15 to 11.5 |
| 3 | PoC包含可执行代码 |
| 4 | 通过PBOXDuplicateRequest绕过沙箱 |
| 5 | 提供了MITIGATION策略 |
🛠️ 技术细节
漏洞利用核心在于RemoteViewServices框架
通过发送恶意消息和数据流实现逃逸
PoC代码调用PBOXDuplicateRequest函数进行沙箱逃逸
修复方案: 更新macOS,实施输入验证,使用沙箱技术隔离进程
🎯 受影响组件
• macOS
• RemoteViewServices
⚡ 价值评估
展开查看详细评估
PoC提供了可执行代码,演示了通过RemoteViewServices进行沙箱逃逸的方法,影响范围明确,具有实际的利用价值。
CVE-2025-4389 - Crawlomatic插件任意文件上传漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-4389 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 19:41:59 |
📦 相关仓库
💡 分析概述
该仓库提供针对Crawlomatic Multipage Scraper Post Generator插件的CVE-2025-4389漏洞的PoC。仓库包含一个Python脚本(CVE-2025-4389.py),用于上传恶意配置文件到目标WordPress网站,通过构造特定请求触发文件上传,进而可能导致远程代码执行。仓库还包含一个readme.md文件,提供了漏洞的详细信息、利用方法和安装说明。代码更新主要集中在PoC脚本的创建和readme文件的修改,用于说明和使用PoC。readme.md文件中提到了漏洞的详细信息,包括受影响版本、CVSS评分以及利用方式。漏洞原理是由于Crawlomatic插件中缺少文件类型验证,导致攻击者可以上传任意文件,可能导致远程代码执行。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Crawlomatic插件未授权任意文件上传 |
| 2 | 利用设置文件上传功能进行攻击 |
| 3 | 可能导致远程代码执行(RCE) |
🛠️ 技术细节
漏洞原理:Crawlomatic插件在crawlomatic_generate_featured_image()函数中缺少文件类型验证,允许上传任意文件。
利用方法:构造包含恶意配置的请求,利用插件的文件上传功能上传设置文件。
修复方案:在插件中添加文件类型验证,限制可上传文件的类型。
🎯 受影响组件
• Crawlomatic Multipage Scraper Post Generator插件
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的WordPress插件,存在明确的利用方法(上传恶意配置文件),且可能导致RCE。PoC代码已提供,可以直接用于漏洞验证和利用。
CVE-2020-14008 - ManageEngine RCE漏洞,获取system权限
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2020-14008 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 22:09:52 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2020-14008的利用代码。该漏洞存在于ManageEngine Applications Manager中,是一个远程代码执行漏洞,攻击者可以通过构造恶意的请求,利用反序列化漏洞执行任意命令,最终获取system权限。更新的文件包括README.md和exploit.py。README.md提供了漏洞的描述,利用方法,使用说明和常见凭证,以及利用后获取的权限信息。exploit.py是实际的漏洞利用脚本,通过发送构造的JSON payload到/RestAPI/LogReceiver端点,触发反序列化漏洞,执行powershell命令,最终实现远程代码执行。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | ManageEngine Applications Manager 远程代码执行漏洞 |
| 2 | 利用反序列化漏洞执行任意命令 |
| 3 | 通过PowerShell获取system权限 |
| 4 | 提供完整的利用代码 |
🛠️ 技术细节
漏洞原理:ManageEngine Applications Manager中存在反序列化漏洞,通过构造恶意的JSON payload,可以在服务器端执行任意命令。
利用方法:通过向/RestAPI/LogReceiver端点发送精心构造的JSON请求,触发反序列化漏洞。payload中包含用于执行powershell的恶意代码,最终获取一个反向shell。
修复方案:升级到修复该漏洞的ManageEngine Applications Manager版本。
🎯 受影响组件
• ManageEngine Applications Manager
⚡ 价值评估
展开查看详细评估
该漏洞允许远程代码执行,影响广泛,且提供了可直接使用的POC,可以用于获取system权限,危害性极高,且有明确的利用方式。
CVE-2024-38014 - CVE-2024-38014: 恶意DLL安装
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-38014 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-26 00:00:00 |
| 最后更新 | 2025-05-26 20:47:07 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对CVE-2024-38014的PoC。该PoC似乎是一个Windows Installer (MSI) 包,其功能是安装一个名为evil.dll的恶意DLL文件。仓库包含Wix Toolset项目文件,用于构建MSI安装程序。PoC通过在安装过程中执行自定义操作来运行evil.dll,这表明该漏洞利用了MSI安装程序自定义操作的特性,在安装过程中执行恶意代码。由于该PoC展示了通过安装过程执行任意代码的能力,因此具有一定的危险性。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | PoC安装一个恶意DLL。 |
| 2 | 利用了MSI安装程序的自定义操作。 |
| 3 | 包含了Wix Toolset项目文件。 |
| 4 | MSI安装包可在x86和x64架构上构建 |
🛠️ 技术细节
PoC构建了一个MSI安装包,该安装包包含一个名为evil.dll的恶意DLL文件。
在Product.wxs文件中定义了自定义操作,在安装过程中执行evil.dll文件中的MyEntryPoint函数。
修改的文件包含了.wxs, .wixproj文件以及.dll文件,这些都说明了漏洞的性质
MSI安装包会被构建到bin目录下,x86和x64架构的包都将被构建
🎯 受影响组件
• Windows
• MSI Installer
⚡ 价值评估
展开查看详细评估
PoC实现了在安装过程中执行任意代码的能力,这可能导致RCE。 由于 PoC 直接安装并执行了 DLL,因此具有实际的潜在危害。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。