清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年08月15-17日

扫码进群：获取每日最新漏洞和投毒情报推送

1. AC智控II管理员密码重置功能非授权访问导致行政权限劫持与运营风险扩大组件功能

 AC智控II是一款面向楼宇管理系统的智能中央空调控制系统，其核心模块通过Web接口实现设备状态监测与参数配置，采用集中式架构设计以简化设备运维流程，旨在为商业建筑提供环境温湿度调控及能耗管理服务，系统默认开放HTTP通信协议支持远程访问需求。

漏洞描述

该漏洞源于WebLogin.asp接口未实施身份认证校验逻辑，攻击者可通过发送构造化GET请求激活管理员密码重置流程，在无需用户凭证或二次验证前提下篡改超级用户账户凭据，由于访问入口对外暴露且无IP白名单限制，攻击链具备跨网络传播特性，成功入侵后可彻底接管设备控制权并篡改运行策略。

漏洞详情

漏洞威胁性评级： 9.1 (严重)

漏洞类型： Improper Access Control (CWE-284)

受影响组件仓库地址： https：//github.com/projectdiscovery/nuclei-templates

Star数： 10624

缓解建议

建议强制实施基于会话令牌的身份验证机制，采用双因素认证加固敏感操作接口，配置防火墙规则限制设备管理界面访问来源，定期审计系统日志识别异常登录行为，上述方案需结合最小权限原则调整访问控制策略。

2. 电商平台基于用户输入订单状态操控导致未授权支付与权限提升

漏洞描述

攻击者可通过构造携带特定订单ID的POST请求绕过身份验证校验，利用缺少主体所有权验证机制的/paySuccess接口修改目标订单支付状态，结合横向越权枚举策略可批量操纵全平台订单数据，最终引发异常财务流水与业务流程瘫痪风险。

组件描述

电商商城平台基于Java Spring Boot框架搭建，采用前后端分离架构，主要功能涵盖商品展示、购物车管理、支付接口对接及订单生命周期管控。

漏洞详情

漏洞威胁性评级： 8.7 (高危)

漏洞类型： Authorization Bypass Through User-Controlled Key (CWE-639)

受影响组件仓库地址： https：//github.com/macrozheng/mall

Star数： 81310

缓解建议

建议在更新订单状态前实施双重认证机制，强制绑定当前会话用户与目标订单标识符关联关系，部署基于RBAC模型的细粒度权限控制系统，对敏感操作增加输入参数合法性校验并记录审计追踪日志。

1. 动态函数构造器代码注入远程代码执行漏洞

漏洞描述

漏洞编号：CVE-2025-55346

发布时间：2025年08月14日

CVSS 评分为 9.8（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-55346

在受影响的组件中，动态函数构造器实现因缺乏对用户输入的有效过滤，存在 代码注入（CWE-94） 安全缺陷。攻击者可通过发送精心构造的POST请求，向函数构造器传递恶意参数，导致主机上下文内任意未沙盒化JS代码的执行。该漏洞允许远程攻击者绕过常规防御机制，直接操纵宿主环境资源，最终实现远程代码执行并完全控制系统权限。

漏洞影响所有依赖动态函数构造器且未实施严格输入验证的软件实例，包括但不限于Web服务器端框架及动态脚本解析工具。攻击者无需用户交互即可完成漏洞利用，仅需诱导目标发起一次HTTP请求即可达成渗透目标。

组件描述

动态函数构造器是常见于编程语言虚拟机或脚本引擎的核心功能模块，用于实时编译并执行字符串形式的代码片段，广泛应用于动态配置解析、即时表达式计算等场景。

潜在风险

从普通用户到管理员：若目标进程具备高权限身份，攻击者可继承同等权限执行任意操作

完全系统控制：攻击者可植入持久性后门、加密敏感文件或横向扩散至局域网内其他资产

无用户交互攻击：通过自动化请求注入（T1003）方式，攻击链可批量扫描并感染开放接口的目标系统

修复建议

1. 禁用非必要动态代码执行功能，改用静态编译替代方案

2. 实施严格的白名单输入验证策略，禁止直接传入用户输入值

3. 启用容器级强制访问控制（MAC）策略，限制代码执行时的资源访问权限

2. Made I.T. Forms Web Shell上传漏洞导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-24775

发布时间：2025年08月14日

CVSS 评分为 9.9（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-24775

在Made I.T. Forms 2.9.0 及之前版本中，文件上传模块因未对输入文件类型进行有效校验，存在 危险类型文件不限制上传（CWE-434） 安全缺陷。攻击者可构造包含Web Shell脚本的文件，通过绕过上传验证逻辑将其部署至服务器，继而获取服务器控制权。该漏洞无需用户身份认证，攻击者可远程发起攻击实现持久性驻留。

漏洞影响所有部署于默认配置下的Made I.T. Forms实例，包括但不限于企业级Web管理系统及内容发布平台。攻击者可通过诱导访问或直接探测暴露的服务接口完成利用链构建。

组件描述

Made I.T. Forms是一款基于PHP的动态表单解决方案，支持多步骤流程设计、字段验证规则配置及附件上传功能，广泛应用于在线业务受理场景。

潜在风险

从中间人到管理员：若Web服务器以特权账号运行，攻击者可继承该权限实施横向渗透

会话劫持与敏感数据泄露：成功上传的Web Shell可用于窃取数据库凭证、会话令牌等关键资产

自动化武器库适配：现有漏洞扫描工具（如Metasploit框架）可快速整合POC模块实现规模化攻击

修复建议

1. 禁用非必要文件上传功能或将附件目录设置为不可执行模式

2. 实施白名单策略，限制允许上传的MIME类型及文件扩展名集合

3. 启用Web应用防火墙规则组（OWASP CRS），拦截含webshell特征值的上传尝试

3. WordPress Icons Factory插件任意文件删除漏洞导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-7778

发布时间：2025年08月15日

CVSS 评分为 9.8（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-7778

在WordPress Icons Factory插件1.6.12及之前版本中，delete_files()函数因授权机制缺失和路径验证逻辑缺陷存在任意文件删除漏洞（CWE-285）。未经身份验证的攻击者可通过构造特殊URL参数绕过文件过滤规则，强制删除服务器端关键文件（如wp-config.php），进一步通过破坏配置完整性实现远程代码执行或服务终止。

漏洞影响使用受影响版本的WordPress站点，攻击者无需登录即可通过网络发起攻击，且攻击链构建成本极低。

组件描述

Icons Factory是一款为WordPress提供动态图标管理功能的插件，支持媒体库集成与自定义图像处理操作。

潜在风险

权限突破：若删除核心文件后重启服务，攻击者可能以Web容器权限接管主机

数据销毁：大规模删除操作将导致业务连续性中断与数据不可恢复丢失

远程持久化：结合文件重写漏洞可植入后门脚本维持长期访问权限

零点击攻击：通过API接口触发，无需用户主动交互即可完成渗透

修复建议

1. 在web服务器层配置严格的目录访问白名单策略

2. 实施基于角色的文件操作审计日志记录

3. 禁用非必要插件并定期进行依赖项安全扫描

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中solana-pump-test组件的2.5.3版本被标记为存在恶意性。 该组件被发现执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为836c98c93e69d3ca43bc0ca36f7c49d3

发布日期

2025年08月16日

2. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中solana-spl-sdk组件的0.1.1版本被标记为存在恶意性。 该组件被发现执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为2e44d47a4342cbc09a7ae8b28f75202d

发布日期

2025年08月16日

3. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中log4net组件的4.0.1版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为8af8d70cedaf986e6711d0231dea7275

发布日期

2025年08月16日

4. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中aog-lib组件的2.2.4版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为48c43a1e35093ef3c7b3e88124621266

发布日期

2025年08月16日

5. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中appcenterclient组件的7.7.8版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为7cefbef3f34fc3c3dc2c85136f951194

发布日期

2025年08月17日

6. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中gen-studio组件的1.1.2版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为b38e44b12d1a5880d208368029fe05b2

发布日期

2025年08月17日