OpenSCA开源社区每日安全漏洞及投毒情报资讯—2025年7月29日

公开漏洞精选

1.1 GitLab Language Server 存在任意 GraphQL 查询执行漏洞

漏洞详情

发布日期:2025-07-29

漏洞编号:CVE-2025-8279

漏洞描述:GitLab Language Server 是 GitLab 提供的一种语言服务器,用于支持代码编辑器中的智能补全、语法检查等功能。在版本 7.6.0 至 7.30.0 之间,存在输入验证不足的问题,允许攻击者执行任意的 GraphQL 查询。该漏洞的根本原因是缺乏对用户提交的 GraphQL 查询的有效性和权限的充分验证,从而导致未授权的功能调用或数据访问。攻击者可以通过构造恶意的 GraphQL 查询来绕过权限限制,进而在服务器端执行任意操作。

漏洞评级:高危 (CVSS3: 8.7)

漏洞类型:输入验证错误

利用方式:远程

PoC状态:未公开

影响范围:7.6.0 ~ 7.30.0

修复方案

官方补丁:已发布

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2025-8279

https://gitlab.com/gitlab-org/gitlab/-/issues/538205

1.2  CodeIgniter 调用ImageMagick 存在命令注入漏洞

漏洞详情

发布日期:2025-07-29

漏洞编号:CVE-2025-54418

漏洞描述:CodeIgniter 是一个 PHP 全栈 Web 框架,广泛用于构建动态网站和 API。此漏洞存在于使用 ImageMagick 处理程序(`imagick` 作为图像库)进行图像处理的应用程序中。漏洞成因是当用户上传包含恶意 shell 元字符的文件名或提供恶意文本内容及选项时,未对这些输入进行充分的校验,从而导致命令注入。具体而言,受影响的功能包括: 1. 通过 `resize()` 方法处理用户上传的具有恶意文件名的图像文件。 2. 使用 `text()` 方法处理用户控制的文本内容或选项时。当这些条件满足时,攻击者可以通过构造特定输入,使得恶意命令在服务器上被执行,从而引发命令注入漏洞。

漏洞评级:严重 (CVSS3: 9.8)

漏洞类型:命令注入

利用方式:远程

PoC状态:未公开

影响范围:codeigniter4/framework <4.6.2

修复方案

官方补丁:已发布

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://cwe.mitre.org/data/definitions/78.html

https://github.com/codeigniter4/CodeIgniter4/commit/e18120bff1da691e1d15ffc1bf553ae7411762c0

1.3 CPython tarfile 模块处理异常tar包存在死循环漏洞

漏洞详情

发布日期:2025-07-29

漏洞编号:CVE-2025-8194

漏洞描述:CPython 的 tarfile 模块是 Python 标准库中的关键组件,主要用于处理 tar 压缩包的创建、访问和提取操作。该模块的 TarFile 解压缩和条目枚举 API 存在一个漏洞。当处理包含负偏移量的恶意构造的 tar 文件时,模块未对输入进行有效校验,导致在解析过程中进入无限循环,可能引发死锁。漏洞的根本原因是解析负偏移量的逻辑中未正确处理异常情况。这使得攻击者可以通过构造特定的恶意 tar 文件实现拒绝服务 (DoS) 攻击。

漏洞评级:高危  (CVSS3: 7.5)

漏洞类型:Dos

利用方式:本地

PoC状态:已公开

影响范围:CPython <= 3.13.*

修复方案

官方补丁:相关修复pr已合并,等待官方发布新版本。

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://github.com/python/cpython/issues/130577

https://nvd.nist.gov/vuln/detail/CVE-2025-8194

1.4 Linux 内核 netfs 模块存在条件竞争漏洞

漏洞详情

发布日期:2025-07-29

漏洞编号: CVE-2025-38492

漏洞描述:Linux 内核是一个开源操作系统内核,广泛应用于服务器、嵌入式系统和桌面设备。netfs 是 Linux 内核中的一个网络文件系统相关模块,用于处理文件缓存操作。在该漏洞中,netfs 模块的子请求(subrequest)可能在发出后立即开始处理,并在发出函数结束之前完成。在发出函数结束时设置 NETFS_RREQ_ALL_QUEUED 标志,表示不再发出新的子请求,并通知收集器进行最终清理。然而,当请求为异步请求时,子请求终止后会触发收集器的队列,这种情况下可能出现竞争条件。如果应用线程在最后一个子请求结束后设置 NETFS_RREQ_ALL_QUEUED 标志,可能导致收集器未被正确触发,进而导致请求挂起。特别是在使用 Ceph 的场景中,copy2cache 代码中读取请求的收集过程会生成异步写入请求来将数据复制到缓存。这些写入子请求在完成后可能未能正确触发收集器,导致请求未完成。该漏洞通过在设置 NETFS_RREQ_ALL_QUEUED 后强制队列收集器来修复,同时增加了一些 tracepoint 用于操作交叉引用和调试。

漏洞类型:条件竞争

利用方式:本地

PoC状态:未公开

影响范围:linux kernel < 6.15.7

修复方案

官方补丁:已发布。

官方修复:官方已发布补丁更新包,请升级至无漏洞版本进行修复。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2025-38492

https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=110188a13c4853bd4c342e600ced4dfd26c3feb5 

组件投毒情报

2.1 NPM组件react-nodes开展恶意木马投毒攻击

投毒详情

投毒概述:组件 react-nodes 的index.js文件包含恶意代码,其主要功能是远程下载并执行恶意bash安装脚本(package-install.sh),bash脚本进一步从github上(https://github.com/laravel-main/laravel-composer/raw/refs/heads/main/packages)拉取投毒者投放的Linux ELF恶意木马程序(laravel-composer),木马程序会被进一步写入Linux系统服务实现开机自启动。

投毒编号:XMIRROR-MAL45-B4077762

项目主页:

https://www.npmjs.com/package/react-nodes

投毒版本:4.0.1

发布日期:2025-07-29

总下载量:95次

修复方案

在项目目录下使用 npm list react-nodes 查询是否已安装该组件,或使用 npm list -g react-nodes 查询是否全局安装该投毒版本组件,如果已安装请立即使用 npm uninstall react-nodes 或 npm uninstall -g react-nodes 进行卸载。此外,也可使用悬镜安全开源工具 OpenSCA-cli进行扫描检测。

IOC信息:

图片

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值