当前位置: 首页 > news >正文

2025年7月28日当周关键漏洞汇总分析

漏洞摘要 - 2025年7月28日当周

发布日期:2025年8月4日
文档ID:SB25-216

CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞与暴露(CVE)命名标准,并根据严重性级别进行组织,严重性由通用漏洞评分系统(CVSS)标准确定。

高、中、低严重性级别的划分对应以下分数:

  • 高危:CVSS基础分数7.0–10.0
  • 中危:CVSS基础分数4.0–6.9
  • 低危:CVSS基础分数0.0–3.9

条目可能包含由组织和CISA赞助的工作提供的附加信息,包括识别信息、值、定义和相关链接。修补程序信息在可用时提供。

漏洞严重性统计

  • 高危漏洞:显示148个条目中的148个
  • 中危漏洞:显示157个条目中的157个
  • 低危漏洞:显示32个条目中的32个
  • 尚未分配:显示337个条目中的337个

主要高危漏洞示例

代码编辑器和开发工具

Cursor代码编辑器(CVE-2025-54136)

  • 版本:1.2.4及以下
  • 描述:攻击者可通过修改已信任的MCP配置文件实现远程持久代码执行
  • CVSS评分:7.2

GitLab Language Server(CVE-2025-8279)

  • 版本:7.6.0至7.30.0之前
  • 描述:输入验证不足允许执行任意GraphQL查询
  • CVSS评分:8.7

Web应用和框架

BentoML(CVE-2025-54381)

  • 版本:1.4.0至1.4.19
  • 描述:文件上传处理系统存在SSRF漏洞
  • CVSS评分:9.9

CodeIgniter4(CVE-2025-54418)

  • 版本:4.6.2之前
  • 描述:使用ImageMagick处理程序时存在命令注入漏洞
  • CVSS评分:9.8

代理服务器和网络组件

vproxy(CVE-2025-54581)

  • 版本:2.3.3及以下
  • 描述:HTTP Proxy-Authorization头处理不当导致除零恐慌和服务崩溃
  • CVSS评分:7.5

Squid缓存代理(CVE-2025-54574)

  • 版本:6.3及以下
  • 描述:URN处理时存在堆缓冲区溢出,可能导致远程代码执行
  • CVSS评分:9.3

内容管理系统和插件

WordPress多个插件

  • Service Finder Bookings插件(CVE-2025-5947):认证绕过导致权限提升
  • Bricks主题(CVE-2025-6495):盲SQL注入漏洞
  • 多个插件存在SQL注入、任意文件上传等漏洞

企业软件和系统

HashiCorp Vault(CVE-2025-6000)

  • 描述:特权操作员可在设置插件目录时获得底层主机代码执行权限
  • CVSS评分:9.1

Autodesk共享组件

  • 多个CVE涉及恶意制作的3DM、PRT、X_T文件解析时的内存损坏漏洞
  • CVSS评分:7.8

操作系统和内核

Linux内核(CVE-2023-32256)

  • 描述:ksmbd组件中的竞争条件导致use-after-free问题
  • CVSS评分:7.5

中危漏洞概述

中危漏洞主要涉及:

  • 跨站脚本(XSS)漏洞
  • 权限绕过问题
  • 信息泄露
  • 有限的代码执行能力

防护建议

  1. 及时更新:关注厂商发布的安全更新,及时应用补丁
  2. 权限最小化:遵循最小权限原则,限制不必要的系统访问
  3. 输入验证:对所有用户输入进行严格验证和清理
  4. 网络分段:实施适当的网络分段,限制漏洞影响范围
  5. 监控检测:部署安全监控系统,及时发现异常活动

该漏洞摘要为组织提供了关键的安全情报,帮助安全团队优先处理最严重的威胁,加强整体安全态势。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=24395

相关文章:

  • C# 与 C/C++ 互操作
  • 【自然语言处理】文本规范化知识点梳理与习题总结 - 教程
  • 邮票收集问题正推证明
  • 2025多校冲刺CSP模拟赛2 2025.10.4 模拟炸
  • 算法乱谈
  • 2025 年 9 月习题集
  • C# 代码规范
  • 实用指南:babelfish for postgresql 分析--todo
  • NFC 贴卡自动拨打微信视频电话
  • 10.4
  • 实用指南:d-分离:图模型中的条件独立性判定准则
  • [MCP] 监听资源更新
  • [RAG] 基础知识
  • CF1408F Two Different
  • 数据结构 - 字典树 Trie
  • 激活函数实现
  • 漏洞赏金入门指南:从零开始的实战方法论
  • PMON failed to acquire latch 的报错及sqlplus / as sysdba 无法连接 - 详解
  • 2025CSP-S模拟赛58 比赛总结
  • 精读C++设计模式20 —— 结构型设计模式:桥接模式 - 详解
  • 用纯.NET开发并制作一个智能桌面机器人(六):使用.NET开发一个跨平台功能完善的小智AI客户端
  • 2025/10/4 总结
  • Qt处理Windows平板上摄像头
  • 你必须知道的TCP和UDP核心区别,快速搞懂这两大协议!
  • [swift 外部干涉法 extension]
  • 2025国庆Day3
  • 量子迁移计划启动:应对未来密码学挑战
  • HPE SPP 2025.09.00.00 - HPE 服务器固件、驱动程序和系统软件包
  • 详细介绍:Linux字符设备驱动开发全攻略
  • sql注入和xss漏洞