5th域安全微讯早报【20250425】099期

12. Zyxel FLEX-H系列设备曝高危RCE漏洞，无需认证即可远程执行系统命令

【CybersecurityNews网站4月24日报道】Zyxel企业级安全设备FLEX-H系列存在严重漏洞（CVE-2025-1731/1732），允许攻击者在无需身份认证的情况下实现远程代码执行。该漏洞由研究员rainpwn发现并于4月22日披露，根源在于设备PostgreSQL数据库服务配置缺陷：虽然默认限制本地访问5432端口，但攻击者可通过SSH隧道建立远程连接通道。由于数据库未启用认证机制，攻击者可利用PostgreSQL的COPY FROM PROGRAM函数执行系统命令，进而通过竞争条件建立SSH隧道、窃取管理员令牌、上传恶意文件等攻击链最终获取root权限。Zyxel已于4月14日发布固件更新，建议受影响企业立即升级系统，实施网络分段并监控SSH端口及数据库异常活动。该案例凸显本地服务访问控制的重要性，专家警告漏洞利用工具可能快速扩散，相关机构需视此更新为紧急安全措施。

13. Citrix NetScaler控制台高危漏洞曝光，未经身份验证即可获取管理员权限

【CybersecurityNews网站4月24日报道】CitrixNetScalerConsole存在严重漏洞，允许完全未经身份验证的用户获取管理访问权限，且概念验证（PoC）漏洞代码已被发布。该漏洞（CVE-2024-6235）早在2024年7月10日由Citrix披露，CVSSv4评分为9.4，属于严重级别。起初该漏洞被视为“敏感信息泄露”，但Rapid7研究员证实，攻击者可利用内部API漏洞获取管理员级会话ID，进而创建管理员账户，将风险升级为系统入侵。Shodan搜索表明，约318个NetScaler控制台实例暴露在互联网上面临攻击风险。具体而言，攻击者发送含特定HTTP标头的GET请求即可获取会话令牌，结合从管理面板提取的rand_key参数便能创建超级管理员账户。该漏洞影响NetScaler Console 14.1版本（14.1-25.53之前），早期版本不受影响。Citrix已在2024年7月发布补丁。安全专家建议相关机构尽快升级至14.1-25.53或更高版本，避免将控制台暴露于公网，并强化补丁管理与访问控制。

14. Commvault现高危RCE漏洞，企业数据备份安全受威胁

【CybersecurityNews网站4月24日报道】Commvault的备份和数据保护平台出现严重的预认证远程代码执行（RCE）漏洞，编号为CVE-2025-34028。该漏洞存在于Commvault“创新版本”11.38.0至11.38.19中，已在11.38.20版本修复。watchTowrLabs的研究人员发现此漏洞并公开了概念验证（PoC）代码。该漏洞存在于Web管理界面的两个预认证端点deployWebpackage.do和deployServiceCommcell.do，由于配置文件中未对其设置认证要求，攻击者无需身份验证，通过网络访问即可利用。攻击过程涉及触发服务器端请求伪造（SSRF）漏洞，强制服务器下载含恶意JSP文件的ZIP包，利用路径遍历解压到可执行位置，进而执行恶意代码。Commvault在企业、托管服务提供商及政府机构广泛应用，因其常存储特权账户凭据，该漏洞对数据安全威胁极大，尤其是在应对勒索软件威胁时。安全团队需排查部署情况，相关组织应尽快升级至11.38.20及更高版本以防范风险。

15. 思科多款关键产品曝严重SSH漏洞（CVE-2025-32433），无需认证即可远程执行代码

【CybersecurityNews网站4月24日报道】思科系统公司确认其多款核心产品受Erlang/OTP SSH服务器高危漏洞影响（CVSS评分10.0）。该漏洞源于SSH协议实现缺陷，允许攻击者发送特制数据包绕过认证，直接以root权限执行系统命令。受影响的18个产品系列包括网络服务编排器(NSO)、Ultra Cloud Core 5G核心组件、Catalyst Center网络管理系统等关键基础设施。思科表示漏洞无需认证即可利用（攻击向量：AV:N/AC:L/PR:N/UI:N），特别威胁暴露在互联网的系统，且可能通过Erlang分布式节点扩散攻击。目前概念验证代码已公开，但尚未发现实际攻击。思科计划自5月起分阶段发布补丁，建议用户立即隔离管理接口、限制SSH访问源IP，并监控异常认证行为。值得注意的是，该漏洞是2025年第三个SSH相关高危漏洞，凸显分布式系统协议安全审计的紧迫性。对于无法立即修补的系统，思科建议启用运行时威胁检测机制防范漏洞利用。

16. Langflow曝高危代码注入漏洞（CVE-2025-3248），AI工作流平台面临RCE风险

【CybersecurityNews网站4月24日报道】开源AI工作流平台Langflow 1.3.0之前版本存在严重远程代码执行漏洞（CVSS 9.8）。该漏洞位于/api/v1/validate/code端点，因未对用户提交的Python代码进行身份验证和沙盒隔离，攻击者可利用Python函数装饰器(@exec)和默认参数特性注入恶意代码。Zscaler研究人员发现，攻击者通过构造特制POST请求即可在服务器执行任意命令，典型案例包括写入文件、执行系统指令等。该漏洞尤其危险在于：1）无需认证即可利用；2）代码在AST解析阶段即被执行；3）影响所有可公开访问的Langflow实例。攻击者可借此窃取数据、建立持久化访问或横向移动。官方已在1.3.0版本强制端点认证，建议用户立即升级，并实施网络分段和零信任防护。该事件再次凸显AI开发工具在动态代码执行场景下的安全风险，强调必须严格实施执行上下文隔离机制。

17. SonicWall SSLVPN曝空指针引用漏洞（CVE-2025-32818），可致防火墙崩溃

【CybersecurityNews网站4月24日报道】SonicWall多款防火墙产品SSLVPN服务中存在高危漏洞（CVSS 7.5），允许未认证攻击者触发设备崩溃。该漏洞由Bishop Fox研究人员发现，源于SonicOS SSLVPN虚拟办公室界面的空指针引用问题（CWE-476），攻击者通过特制请求即可导致防火墙重启，造成服务中断。受影响设备包括Gen7系列（TZ270/TZ370/TZ470等）、NSa系列（2700-6700）及TZ80（固件≤8.0.0-8037），涉及固件版本7.1.1-7040至7.1.3-7015。SonicWall已发布修复版本（Gen7需升级至7.2.0-7015+，TZ80需8.0.1-8017+），强调该漏洞无临时缓解措施，必须通过固件更新解决。企业应优先修补暴露在互联网的防火墙，并监控异常重启事件。此次事件再次凸显网络边界设备安全性的关键作用。

18. Redis惊现高危漏洞，攻击者可致服务器内存耗尽或崩溃

【CybersecurityNews网站4月24日消息】流行开源内存数据结构存储Redis存在高严重性漏洞（CVE-2025-21605，CVSS评分7.5）。该漏洞源于输出缓冲区管理设计缺陷，默认未对普通客户端输出缓冲区设限，未经身份验证的攻击者可利用此无限扩大缓冲区，耗尽服务器内存，导致拒绝服务（DoS），即使服务器启用密码保护也能被攻击。此漏洞影响Redis2.6及后续未打补丁版本，攻击基于网络，复杂度低，无需特权和用户交互，虽不影响数据机密性和完整性，但严重威胁服务可用性。目前，Redis云服务已修复该问题，而自行管理Redis部署的组织需尽快升级到对应修补版本，如RedisOSS/CE7.4.3及以上、RedisStack7.4.0-v4及以上等。暂时无法升级的组织，可通过实施网络访问控制、启用TLS并要求客户端证书认证、配置合理输出缓冲区限制等策略缓解风险。使用Redis的组织应立即评估风险，采取措施保障服务安全。

19. NVIDIA NeMo框架曝三大高危漏洞可致AI系统遭远程代码攻击

【CybersecurityNews网站4月24日报道】NVIDIA生成式AI平台NeMo框架存在三个高危漏洞（CVE-2025-23249/23250/23251，CVSS评分均为7.6），攻击者可借此实现远程代码执行和数据篡改。其中CVE-2025-23249涉及不安全反序列化漏洞（CWE-502），允许通过操纵序列化对象注入恶意代码；CVE-2025-23250为路径遍历漏洞（CWE-22），可覆盖系统文件；CVE-2025-23251则源于代码生成控制缺陷（CWE-94）。这些漏洞影响Windows/Linux/macOS平台所有25.02之前版本，需用户交互即可远程利用。NVIDIA已于4月22日发布25.02版本修复补丁，建议用户立即升级并检查AI系统完整性。该事件凸显AI开发工具链的安全风险，上海大学研究员周鹏因发现漏洞获官方致谢。

20. 威胁行为者利用零日漏洞攻击复杂度显著上升，谷歌呼吁强化分层防御体系

【CybersecurityNews网站4月24日报道】谷歌M-Trends 2025报告指出，网络攻击者正通过开发定制恶意软件、利用零日漏洞及部署高级规避技术显著提升攻击复杂度。数据显示，全球攻击驻留时间从2024年的10天增至11天，其中33%的初始入侵通过漏洞利用实现，16%依赖窃取凭证。报告特别警示，与中国相关的威胁团体展现出针对目标定制专用攻击工具的能力，通过僵尸网络代理及边缘设备突破传统防御盲区。攻击者利用零日漏洞时，通常结合网络侦察、定制化漏洞代码及低干扰载荷执行，规避安全检测。谷歌建议采取分层防御策略，包括强化系统配置、最小权限原则、部署FIDO2多因素认证，并优先修补关键漏洞。专家强调，零日漏洞作为“隐形武器”的威胁持续升级，需将基础安全措施列为优先防护重点。