清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年08月11日

扫码进群：获取每日最新漏洞和投毒情报推送

1. iMCP组件因访问控制不当导致本地网络设备数据泄露

漏洞描述

攻击者可通过同一局域网环境中的mDNS协议扫描_mcp._tcp服务接口，无需认证即能远程探测并连接至iMCP服务器实例，利用默认开放的网络接口特性绕过本地防护机制，读取存储在内存或文件系统的iMessage记录、通讯录等高敏数据，此类攻击路径适用于共享办公网络、家庭Wi-Fi等混合接入场景。

组件描述

iMCP是一款基于Bonjour协议实现跨平台服务发现的消息同步工具，其架构采用mDNS多播方式进行自动服务注册与发现，运行环境为macOS系统，设计目标是通过零配置网络快速建立设备间通信连接，支持实时传输日历、位置等隐私数据。

漏洞详情

漏洞威胁性评级： 8.1 (高危)

漏洞类型： Improper Access Control (CWE-284)

受影响组件仓库地址： https：//github.com/mattt/iMCP

Star数： 752

缓解建议

建议开发者实施网络接口绑定策略限制至127.0.0.1，部署双向token认证框架增强CLI与应用层通信合法性校验，强制启用TLS 1.3及以上版本对数据通道加密，并针对非必要网络暴露功能模块设置白名单控制规则。

1. Linksys RE6250系列路由器setWan接口缓冲区溢出漏洞导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-8819

发布时间：2025年08月11日

CVSS 评分为 9.0（超危）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-8819

在Linksys RE6250, RE6300, RE6350, RE6500, RE7000和RE9000型号路由器（版本至20250801）中，/goform/setWan接口因未对staticIp参数进行有效长度校验，存在栈缓冲区溢出（CWE-119）安全缺陷。攻击者通过构造畸形的静态IP设置请求，可触发基于栈的内存覆盖，从而劫持控制流实现远程代码执行或系统崩溃。

漏洞影响上述所有未更新固件的Linksys无线接入点产品。攻击者仅需向目标设备发送精心设计的HTTP POST请求即可完成远程利用，无需用户交互且攻击链全程自动化。

组件描述

Linksys RE6250系列是面向家庭及小型办公场景的Wi-Fi 6/6E网状网络路由器/扩展器，其管理界面允许用户配置WAN口参数并持久化保存到固件存储层。

潜在风险

横向渗透跳板：若攻击者获取路由器管理权限，可借此绕过企业边界防御体系，进一步渗透内部网络

DDoS武器化：被控制设备可能被编入僵尸网络用于大规模反射放大攻击

供应链污染：路由器作为物联网入口节点，可被植入后门持续监控流量或篡改路由策略

零日利用窗口：厂商至今未发布官方修复方案，漏洞暴露期仍处于开放状态

修复建议

1. 紧急阻断：在管理后台关闭非必要外网端口映射，限制/goform/*路径的外部访问

2. 输入过滤：自定义规则拦截含超长字符串的Content-Type： application/x-www-form-urlencoded请求

3. 固件审计：检查供应商公告是否提及CVE-2025-8819修复记录，优先采购20250801后版本硬件

4. 物理隔离：关键业务网络应采用双机热备架构，避免单点故障引发全域瘫痪

5. 上报跟踪：通过[US-CERT](https：//www.us-cert.gov)提交可疑活动报告并关注厂商响应动态

2. Linksys路由器远程管理栈溢出导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-8831

发布时间：2025年08月11日

CVSS 评分为 9.0（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-8831

在Linksys RE6250、RE6300、RE6350、RE6500、RE7000和RE9000型号路由器中，其 远程管理功能 存在 基于栈的缓冲区溢出（CWE-119） 安全缺陷。攻击者通过操纵 /goform/remoteManagement 接口的 portNumber 参数，可触发栈内存破坏，最终实现远程代码执行或服务拒绝攻击。

漏洞影响上述型号路由器中未修复的历史版本。攻击者无需用户交互，仅需通过网络发送精心构造的远程管理请求即可突破设备防护，可能导致敏感配置泄露、设备劫持或网络传播攻击。

组件描述

Linksys系列路由器是广泛使用的家用和企业级无线接入设备，提供远程管理接口以简化运维操作。

潜在风险

设备控制权丧失：攻击者可接管路由器，篡改路由策略或植入恶意固件

网络穿透：通过受感染路由器作为跳板，横向渗透内部局域网资产

DDoS武器化：大规模利用可形成僵尸网络，参与分布式拒绝服务攻击

数据截获：劫持HTTPS通信或DNS解析，实施中间人窃听

修复建议

1. 默认关闭非必要远程管理端口（Port 80/TCP），采用HTTPS替代HTTP协议

2. 在边界防火墙部署正则表达式过滤规则，拦截异常长度的portNumber请求参数

3. 启用网络层速率限制，防御自动化扫描工具探测漏洞入口点

4. 监控系统日志中的栈回溯异常记录（Stack Corruption Event ID 1023）

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中teste-depenconfu组件的1.0.0版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为c0d1a27fb13ccdfbdc942ad66fce81bf

发布日期

2025年08月11日

2. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中teste-depenconfu组件的1.0.0版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为c0d1a27fb13ccdfbdc942ad66fce81bf

发布日期

2025年08月11日

3. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中nestjs-datadog组件的500.0.5版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为f8dbd3dbf75d6d0046437b765493a080

发布日期

2025年08月11日

4. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中require-turbo组件的99.0.3版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为d71a1a209cdf69ece471ae67d60f2d4a

发布日期

2025年08月11日