当前位置: 首页 > news >正文

OpenSCA开源社区每日安全漏洞及投毒情报资讯|14th Aug. , 2025

news 2025/8/16 20:04:36

公开漏洞精选

NEWS

1.1 NGINX ngx_mail_smtp_module 模块存在越界读取导致敏感信息泄漏

漏洞详情

发布日期:2025-08-13

漏洞编号:CVE-2025-53859

漏洞描述:

NGINX 开源版和 NGINX Plus 在 ngx_mail_smtp_module 模块中存在一个漏洞,这可能使未经身份验证的攻击者过度读取 NGINX SMTP 身份验证过程中的内存;因此,服务器端可能会泄露在请求中发送给身份验证服务器的任意字节数据。此问题发生在 NGINX SMTP 身份验证过程中,攻击者需要针对目标系统进行准备,以提取泄露的数据。仅在以下情况下该问题会影响 NGINX:(1) 使用 ngx_mail_smtp_module 模块构建;(2)smtp_auth 指令配置。该漏洞在Nginx 1,29,1版本中修复。

漏洞类型:越权读取

漏洞评级:中危

利用方式:远程

PoC状态:未公开

影响范围:

 NGINX [0.7.22, 1.29.0]

修复方案

官方补丁:已发布

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2025-53859

https://seclists.org/oss-sec/2025/q3/98 

1.2 Apache Tomcat 拒绝服务漏洞

漏洞详情

发布日期:2025-08-13

漏洞编号:CVE-2025-48989

漏洞描述:

Apache Tomcat 中存在资源关闭或释放不当漏洞,使 Tomcat 易受重置攻击,导致远程拒绝服务。此问题影响 Apache Tomcat 版本:11.0.0-M1 至 11.0.9、10.1.0-M1 至 10.1.43,以及 9.0.0.M1 至 9.0.107。更早的已终止支持版本也可能受影响。

漏洞类型:资源关闭或释放不当(CWE-404)

漏洞评级:高危(CVSS:3.x  7.5)

利用方式:远程

PoC状态:未公开

影响范围:11.0.0-M1 -11.0.9、10.1.0-M1 -10.1.43, 9.0.0.M1 -9.0.107

修复方案

官方补丁:已发布

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2025-48989

https://seclists.org/oss-sec/2025/q3/95 

1.3  Gitlab 跨站脚本漏洞

漏洞详情

发布日期:2025-08-13

漏洞编号:CVE-2025-7734

漏洞描述:

在GitLab社区版/企业版中存在XSS跨站脚本漏洞,该漏洞影响从 14.2 到 18.0.6 之前、18.1 到 18.1.4 之前以及 18.2 到 18.2.2 之前的所有版本。在特定条件下,攻击者可能通过注入恶意内容,以目标用户身份执行恶意操作。

漏洞类型:跨站脚本(XSS)

漏洞评级:高危(CVSS:3.x  8.7)

利用方式:远程

PoC状态:未公开

影响范围:

14.2-18.0.6,18.1-18.1.4,18.2-18.2.2

修复方案

官方补丁:已发布

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://github.com/advisories/GHSA-vp64-6mxr-66qc

https://cvefeed.io/vuln/detail/CVE-2025-7734

组件投毒情报

NEWS

2.1  NPM组件d360-strapi窃取npm配置文件及平台敏感信息

投毒详情

投毒概述:组件d360-strapi的安装配置文件package.json利用postinstall 指令在安装过程中执行包含恶意代码的js文件 vite.config.example.js ,其主要功能是窃取系统平台信息(包括系统版本与CPU架构);此外,还会远程下载并植入恶意木马程序(https://d360app.global.ssl.fastly.net/telemetry/image/uvw)。

投毒编号:XMIRROR-MAL45-499EAB20

项目主页:https://www.npmjs.com/package/d360-strapi

投毒版本:0.1.0

发布日期:2025-08-14

总下载量:69次

修复方案

在项目目录下使用 npm list td360-strapi 查询是否已安装该组件,或使用 npm list -g d360-strapi查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall  d360-strapi或 npm uninstall -g d360-strapi进行卸载。此外,也可使用悬镜安全开源工具 OpenSCA-cli进行扫描检测。

IOC信息:

http://www.lryc.cn/news/622499.html

相关文章:

  • plantsimulation中存储(store)、缓冲区(buffer)、放置缓冲区(PlaceBuffer)的区别,分别应用于那种情况
  • OpenCompass傻瓜式入门教程
  • linux-数据链路层
  • 博弈论06——PPAD复杂度问题
  • JAVA-DAY7-面向对象进阶
  • 从0开始跟小甲鱼C语言视频使用linux一步步学习C语言(持续更新)8.15
  • Java研学-SpringCloud(三)
  • Erlang notes[2]
  • Shortest Routes II(Floyd最短路)
  • 数据结构:二叉树的表示方式(Representation of Binary Trees)
  • 【100页PPT】数字化转型集团信息化总体解决方案(附下载方式)
  • UI-TARS-Desktop 产品发展史:从实验室原型到企业级解决方案
  • gulimall项目笔记:P54三级分类拖拽功能实现
  • 深入理解C++正则表达式:从基础到实践
  • ramdisk内存虚拟盘(一)——前世今生
  • Python爬取推特(X)的各种数据
  • 功能组和功能组状态的概念关系和区别
  • 【揭秘红黑树:高效数据结构解析】
  • 谈谈《More Effective C++》的条款30:代理类
  • JavaScript 防抖(Debounce)与节流(Throttle)
  • Python入门第2课:变量、数据类型与输入输出
  • MySQL(多表查询练习)
  • C#控制台输入(Read()、ReadKey()和ReadLine())
  • 【大模型微调系列-01】 入门与环境准备
  • Linux信号保存
  • PowerShell 格式化系统完全掌握(上):工作原理、默认规则与三大格式化命令
  • 【数据分享】上市公司创新韧性数据(2007-2023)
  • 数据处理分析环境搭建+Numpy使用教程
  • MySQL、PolarDB、PolarDB-X、TableStore、MongoDB、TiDB、ClickHouse选型
  • CIAIE 2025上海汽车内外饰展观察:从美学到功能的产业跃迁