扫码进群:获取每日最新漏洞和投毒情报推送
清源SCA开源版交流群
Overview
2025年8月概览
2025年8月,清源SCA社区共监测并推送153条安全情报,网络安全威胁持续高位运行。其中,未收录CVE的高危漏洞提早感知情报35条,持续为社区用户提供关键的0day预警;精选CVE热点漏洞58条,覆盖了从企业级软件到IoT设备的广泛领域;此外,持续披露了60起供应链投毒事件,npm生态系统依然是攻击者的主要目标。本月漏洞危害等级极高,多个漏洞评分达到满分10.0,命令注入、权限绕过和反序列化漏洞是主要的攻击手段。
Statistics
核心数据统计
Trending
漏洞趋势分析
命令注入(OS Command Injection)漏洞大规模爆发,构成最直接RCE威胁
本月出现了大量极其严重的命令注入漏洞,攻击者可通过构造特殊输入直接在目标系统上执行任意命令。
Flowable工作流引擎 (CVE未收录):通过上传恶意BPMN流程文件,在解析时触发命令注入,实现RCE。
多个网络设备漏洞:D-Link多个型号路由器、Linksys RE系列路由器均曝出通过HTTP接口的命令注入漏洞,可直接远程获取设备控制权。
医疗设备与库:libbiosig库(CVE-2025-54489)处理MFER文件时存在堆溢出,可导致代码执行,影响医疗设备。
警示:严禁将用户输入直接拼接至系统命令中。所有外部输入都必须经过严格的校验和过滤。
权限绕过与未授权访问漏洞居高不下
大量系统因认证逻辑缺失,允许攻击者无需凭证即可访问敏感功能或数据。
H3C IMC (CVE-2024-13980):因JSF ViewState校验缺陷,可绕过认证直接执行系统命令。
FreePBX (CVE-2025-57819):未授权访问漏洞导致可任意操作数据库并最终实现RCE,完全接管电话系统。
Agiloft (CVE-2025-35115):更新包下载使用HTTP协议,可被中间人劫持替换为恶意文件,造成供应链攻击。
核心建议:对所有API和管理接口实施强制身份验证和授权检查。遵循最小权限原则,避免默认开放敏感接口。
反序列化与文件上传漏洞持续构成严重风险
反序列化漏洞和不安全的上传功能依然是攻击者获取系统权限的常用途径。
ModelScope Swift (CVE-2025-50472):反序列化恶意模型文件(.mdl)时可触发任意代码执行。
Hyland OnBase (CVE-2025-34153):.NET Remoting接口使用不安全的BinaryFormatter,导致未认证RCE。
多个WordPress插件:如
Drag and Drop File Upload for Elementor Forms插件因未校验文件类型,允许上传WebShell。应对策略:升级存在已知反序列化漏洞的库。对文件上传功能实施严格的“白名单”策略,校验文件类型和内容,并将文件存储在Web根目录之外。
供应链投毒态势有增无减,信任基础受侵蚀
本月披露60起投毒事件,全部针对npm生态系统。攻击手法持续演进:
包名仿冒:使用与流行包高度相似的名称(如
eslint-config-i18n-scanvs 官方包)。版本号欺诈:使用超高版本号(如
999.0.0,1005.0.1)吸引用户安装。恶意行为:与恶意域名通信、下载并执行远程命令。
防御重点:仅从官方和绝对可信的源安装依赖。部署私有仓库并进行安全扫描。使用SCA(软件成分分析)工具持续监控项目依赖,及时发现并移除可疑包。
Summary
总结与建议
2025年08月的安全态势显示,高级持续性威胁(APT)正变得更为普遍和自动化。攻击面覆盖了几乎所有软件领域,从流行的开发框架(Flowable)、企业级系统(SAP, H3C IMC, FreePBX)到关键的医疗设备(libbiosig)和网络基础设施(路由器)。软件供应链的安全已成为整个生态系统的薄弱环节。
给开发与安全团队的紧急建议:
紧急排查与修复:
立即检查并评估Flowable, H3C IMC, FreePBX以及所有提及的WordPress插件是否在您的环境中使用,并优先修复这些超危漏洞。重点关注无需认证即可远程利用的漏洞。
强化基础安全实践:
杜绝命令拼接:使用安全的API和参数化接口来替代系统命令调用。
强制认证授权:对所有内部和外部API接口实施强制的身份验证和细粒度的授权校验。
安全文件处理:对文件上传功能实施“白名单”策略,并安全地处理反序列化操作。
供应链安全治理:
建立和维护准确的软件物料清单(SBOM),清晰掌握所有依赖项。
将SCA工具集成到CI/CD流程中,实现依赖漏洞的自动检测和告警。
对开发团队进行安全意识培训,提高对仿冒包的辨识能力。
纵深防御体系建设:
在网络边界部署WAF,防御常见的Web攻击(如命令注入、路径遍历)。
启用详细的日志记录和监控,设置安全告警以便及时发现入侵行为。
对于网络设备、IoT设备,确保其不直接暴露在公网,并通过防火墙进行网络隔离。
清源SCA社区将继续作为您可靠的安全前哨,提供最快、最精准的漏洞情报,帮助您在复杂的威胁环境中提前布防,保障软件生命周期的安全。
扫码进群:获取每日最新漏洞和投毒情报推送
清源SCA开源版交流群
开源安全,始于清源。让我们共同守护代码基石,释放开源生态的真正潜力!
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以AI、多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清源SCA社区版、清正CleanBinary (二进制代码扫描)、清流PureStream(AI风险治理平台)、清本CleanCode SAST(企业级白盒静态代码扫描)、可信开源软件服务平台、开源治理服务等产品和解决方案,覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体&软件、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
点击蓝字 关注我们