清源SCA社区安全情报月度总结（2025年6月）

2025年06月，清源SCA社区共监测并推送103条安全情报，网络安全态势持续严峻。其中，未收录CVE的高危漏洞提早感知情报22条，为社区用户提供了宝贵的预警时间；精选CVE热点漏洞38条，覆盖了广泛使用的流行组件；此外，持续披露了43起供应链投毒事件，凸显了开源软件供应链面临的巨大威胁。本月漏洞不仅数量众多，且危害等级极高，多个漏洞评分达到满分10.0，远程代码执行（RCE）成为最主要的攻击手段。

• 反序列化漏洞依然猖獗，构成RCE主要威胁

本月出现了多起极其严重的反序列化漏洞，直接导致远程代码执行。例如：

• Feature-Splatting组件（CVE未收录）：通过加载恶意PyTorch模型文件触发，可绕过沙箱。

• RuoYi-Cloud/Vue系列漏洞：因FastJSON白名单配置不当，结合LDAP注入实现RCE，影响大量国内Java微服务项目。

• 警示：任何涉及反序列化外部数据的组件都应视为高危点，必须严格校验输入并使用安全序列化格式。

• 路径遍历与文件上传漏洞高频出现

文件上传功能中的安全校验缺失是另一大重灾区，攻击者可借此上传WebShell或覆盖系统关键文件。

• Langchain-Chatchat：后端API未过滤../序列，允许写入服务器任意位置。

• 多个WordPress插件：如HaruTheme、MapSVG等，因未限制上传文件类型，导致网站被接管。

• 应对策略：实施“白名单”校验文件类型和扩展名，对上传文件名进行规范化处理，并避免将用户输入直接拼接至文件路径。

• 权限控制缺失导致严重横向渗透

越权访问（IDOR）和认证绕过类漏洞使得攻击者能轻易提升权限。

• Quest KACE SMA：曝出身份验证绕过和未授权备份上传两大超危漏洞，可完全接管管理系统。

• Engineercms：接口未授权访问，可远程创建管理员账户。

• 核心建议：遵循“最小权限原则”，对所有业务接口实施强制认证和细粒度授权校验。

• 供应链投毒持续高发，信任危机加剧

本月披露43起npm投毒事件，攻击者通过仿冒流行包、注入恶意代码等方式，威胁整个软件开发供应链。

• 攻击模式：包名与正版相似（如aws-sdk-react-native-core）、版本号欺诈（如99.99.99）、通信恶意域名、执行系统命令。

• 防御重点：优先从官方渠道获取依赖，部署私有仓库并定期扫描，使用SAST/SCA工具检测项目中的恶意代码。

2025年06月是漏洞爆发的一个月，高危漏洞数量多、影响面广、攻击手法直接。从企业级框架到流行开发工具，无一不成为攻击者的目标。

给开发与安全团队的紧急建议：

• 紧急排查与修复：立即根据情报检查自身业务中是否使用了RuoYi、Langchain-Chatchat、WordPress相关插件（HaruTheme, MapSVG, WP VR等）、Quest KACE SMA等受影响组件，并优先修复CVSS评分超危（9.0+）的漏洞。

  
  

• 强化安全开发规范：

• 严禁不可信数据的反序列化操作。

• 对文件上传功能实施 “白名单” 校验机制。

• 对所有API接口进行身份认证和权限校验。

  
  

• 供应链安全治理：

• 建立完善的软件物料清单（SBOM），清晰掌握项目依赖。

• 引入自动化SCA工具，对开源依赖进行持续监控和漏洞扫描。

• 对获取的第三方包进行哈希校验，警惕仿冒包。

  
  

• 纵深防御体系建设：

• 在网络边界部署WAF，拦截常见的攻击 payload。

• 启用严格的日志审计和监控，及时发现异常行为。