漏洞摘要 - 2025年7月28日当周
发布日期:2025年8月4日
文档ID:SB25-216
CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞与暴露(CVE)命名标准,并根据严重性级别进行组织,严重性由通用漏洞评分系统(CVSS)标准确定。
高、中、低严重性级别的划分对应以下分数:
- 高危:CVSS基础分数7.0–10.0
- 中危:CVSS基础分数4.0–6.9
- 低危:CVSS基础分数0.0–3.9
条目可能包含由组织和CISA赞助的工作提供的附加信息,包括识别信息、值、定义和相关链接。修补程序信息在可用时提供。
漏洞严重性统计
- 高危漏洞:显示148个条目中的148个
- 中危漏洞:显示157个条目中的157个
- 低危漏洞:显示32个条目中的32个
- 尚未分配:显示337个条目中的337个
主要高危漏洞示例
代码编辑器和开发工具
Cursor代码编辑器(CVE-2025-54136)
- 版本:1.2.4及以下
- 描述:攻击者可通过修改已信任的MCP配置文件实现远程持久代码执行
- CVSS评分:7.2
GitLab Language Server(CVE-2025-8279)
- 版本:7.6.0至7.30.0之前
- 描述:输入验证不足允许执行任意GraphQL查询
- CVSS评分:8.7
Web应用和框架
BentoML(CVE-2025-54381)
- 版本:1.4.0至1.4.19
- 描述:文件上传处理系统存在SSRF漏洞
- CVSS评分:9.9
CodeIgniter4(CVE-2025-54418)
- 版本:4.6.2之前
- 描述:使用ImageMagick处理程序时存在命令注入漏洞
- CVSS评分:9.8
代理服务器和网络组件
vproxy(CVE-2025-54581)
- 版本:2.3.3及以下
- 描述:HTTP Proxy-Authorization头处理不当导致除零恐慌和服务崩溃
- CVSS评分:7.5
Squid缓存代理(CVE-2025-54574)
- 版本:6.3及以下
- 描述:URN处理时存在堆缓冲区溢出,可能导致远程代码执行
- CVSS评分:9.3
内容管理系统和插件
WordPress多个插件
- Service Finder Bookings插件(CVE-2025-5947):认证绕过导致权限提升
- Bricks主题(CVE-2025-6495):盲SQL注入漏洞
- 多个插件存在SQL注入、任意文件上传等漏洞
企业软件和系统
HashiCorp Vault(CVE-2025-6000)
- 描述:特权操作员可在设置插件目录时获得底层主机代码执行权限
- CVSS评分:9.1
Autodesk共享组件
- 多个CVE涉及恶意制作的3DM、PRT、X_T文件解析时的内存损坏漏洞
- CVSS评分:7.8
操作系统和内核
Linux内核(CVE-2023-32256)
- 描述:ksmbd组件中的竞争条件导致use-after-free问题
- CVSS评分:7.5
中危漏洞概述
中危漏洞主要涉及:
- 跨站脚本(XSS)漏洞
- 权限绕过问题
- 信息泄露
- 有限的代码执行能力
防护建议
- 及时更新:关注厂商发布的安全更新,及时应用补丁
- 权限最小化:遵循最小权限原则,限制不必要的系统访问
- 输入验证:对所有用户输入进行严格验证和清理
- 网络分段:实施适当的网络分段,限制漏洞影响范围
- 监控检测:部署安全监控系统,及时发现异常活动
该漏洞摘要为组织提供了关键的安全情报,帮助安全团队优先处理最严重的威胁,加强整体安全态势。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
