【2025-11-28】软件供应链安全日报：最新漏洞预警与投毒预警情报汇总

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

2025年11月28日更新：共新增36条安全漏洞预警信息，具体分布如下：

• CVE漏洞预警：25条
• 商业软件漏洞预警：5条
• 供应链投毒预警：6条

CVE-2025-58304 漏洞

漏洞评级：中危，4.9

修复建议：可选修复

POC情况：暂无POC

漏洞描述：系统设置模块存在权限控制缺陷，成功利用可能导致服务机密性受损。

参考链接：https://www.oscs1024.com/hd/MPS-k82i-60am

CVE-2025-66359 漏洞

漏洞评级：高危，8.5

修复建议：建议修复

POC情况：暂无POC

漏洞描述：Logpoint在7.7.0版本之前，多个组件因输入验证不充分且未正确进行输出转义，导致跨站脚本（XSS）漏洞风险。

影响范围：siem，(-∞,7.7.0)

[此处为图片1]

参考链接：https://www.oscs1024.com/hd/MPS-3egx-dnqt

CVE-2025-66361 漏洞

漏洞评级：中危，6.9

修复建议：可选修复

POC情况：暂无POC

漏洞描述：在Logpoint 7.7.0之前的版本中，当系统处于高CPU负载状态时，部分进程可能长时间暴露敏感信息。

影响范围：siem，(-∞,7.7.0)

参考链接：https://www.oscs1024.com/hd/MPS-vrf5-9zyl

CVE-2025-66360 漏洞

漏洞评级：中危，6.9

修复建议：可选修复

POC情况：暂无POC

漏洞描述：Logpoint 7.7.0以下版本中，访问控制策略配置不当，使得li-admin用户可访问Redis等内部敏感服务，存在权限提升风险。

参考链接：https://www.oscs1024.com/hd/MPS-stbc-jv0e

CVE-2025-66371 漏洞

漏洞评级：中危，5

修复建议：可选修复

POC情况：暂无POC

漏洞描述：Peppol-py在1.1.1版本前由于Saxon配置问题，XML解析器在处理发票文件时易受XXE攻击，可能读取本地文件并外传至远程主机。

影响范围：peppol-py，(-∞,1.1.1)

参考链接：https://www.oscs1024.com/hd/MPS-avtu-hngs

CVE-2025-66370 漏洞

漏洞评级：中危，5

修复建议：可选修复

POC情况：暂无POC

漏洞描述：Kivitendo在3.9.2版本之前存在XXE注入漏洞，攻击者可通过上传ZUGFeRD格式的电子发票实现服务器文件读取与泄露。

参考链接：https://www.oscs1024.com/hd/MPS-w9pu-4yvo

CVE-2025-66372 漏洞

漏洞评级：低危，2.8

修复建议：可选修复

POC情况：暂无POC

漏洞描述：Mustang项目在2.16.3版本之前存在XXE攻击漏洞，攻击者可借此泄露系统中的文件内容。

影响范围：org.mustangproject:library，(-∞,2.16.3)

参考链接：https://www.oscs1024.com/hd/MPS-ritc-3box

CVE-2025-64312 漏洞

漏洞评级：中危，4.9

修复建议：可选修复

POC情况：暂无POC

漏洞描述：文件管理模块存在权限控制缺陷，成功利用可能影响服务的机密性。

参考链接：https://www.oscs1024.com/hd/MPS-j63x-08h4

CVE-2025-58302 漏洞

漏洞评级：高危，8.4

修复建议：建议修复

POC情况：暂无POC

漏洞描述：设置模块中的权限校验不足，可能导致服务机密性被破坏。

参考链接：https://www.oscs1024.com/hd/MPS-k82i-60am

CVE-2025-13737 漏洞

漏洞评级：中危，4.3

修复建议：可选修复

POC情况：暂无POC

漏洞描述：WordPress插件Nextend Social Login and Register的所有版本（包括3.1.21及更早版本）存在跨站请求伪造（CSRF）漏洞。由于’unlinkUser’函数缺乏有效的nonce验证机制，未经身份验证的攻击者可构造恶意请求，诱骗管理员点击后解除用户的社交登录绑定。

影响范围：Nextend Social Login and Register，(-∞,3.1.21]

参考链接：https://www.oscs1024.com/hd/MPS-re0k-17wb

CVE-2025-58311 漏洞

漏洞评级：中危，5.8

修复建议：可选修复

POC情况：暂无POC

漏洞描述：USB驱动模块中存在释放后使用（UAF）漏洞，成功利用将影响系统的可用性和数据机密性。

参考链接：https://www.oscs1024.com/hd/MPS-0c1x-26iq

在 Uniong 开发的 WebITR 系统中发现多个高危安全漏洞，涉及认证绕过、SQL 注入以及任意文件读取等问题。这些漏洞可能被经过身份验证的远程攻击者利用，进而对系统造成严重影响。

CVE-2025-13768 漏洞表现为一种身份认证绕过机制，允许攻击者通过篡改特定参数冒充任意用户登录系统。需注意的是，成功利用该漏洞的前提是攻击者已获取有效的用户 ID 信息。

CVE-2025-13770 和 CVE-2025-13769 均为 SQL 注入类漏洞，存在于 WebITR 的数据库交互逻辑中。攻击者可在身份验证后注入恶意 SQL 命令，从而读取敏感数据库内容，可能导致数据泄露或进一步的权限提升。

此外，CVE-2025-13771 揭示了 WebITR 中存在的任意文件读取问题。攻击者可借助相对路径遍历技术，下载系统中的任意文件，对服务机密性构成直接威胁。

影响范围：

参考链接：
https://www.oscs1024.com/hd/MPS-em51-oavz
https://www.oscs1024.com/hd/MPS-etyw-vo4d
https://www.oscs1024.com/hd/MPS-n8ph-af6g
https://www.oscs1024.com/hd/MPS-0qky-7aon

漏洞评级：高危（7.1~7.7）
修复建议：建议修复
POC情况：暂无POC

[此处为图片1]

另一个值得关注的严重漏洞为 CVE-2025-66385，出现在 Cerebrate 应用程序的 UsersController 模块中。当版本低于 1.30 时，经过身份验证但权限较低的用户可通过修改 edit 请求中的 role_id 或 organisation_id 字段，非法提升自身权限，例如获得管理员角色。

影响范围：
cerebrate，(-∞,1.30)

参考链接：
https://www.oscs1024.com/hd/MPS-e6yn-suif

漏洞评级：高危，8.2
修复建议：建议修复
POC情况：暂无POC

[此处为图片2]

MISP 平台也存在多项安全缺陷。CVE-2025-66384 指出，在版本 2.5.24 之前的 EventsController.php 文件中存在逻辑错误，特别是在处理上传文件的 tmp_name 参数时，未能正确校验其有效性，可能导致安全隐患。

影响范围：
misp，(-∞,2.5.24)

参考链接：
https://www.oscs1024.com/hd/MPS-s92g-lbck

漏洞评级：严重，9.4
修复建议：建议修复
POC情况：暂无POC

[此处为图片3]

同时，在 MISP 的 app/Model/EventReport.php 文件中，版本低于 2.5.27 的系统存在路径遍历漏洞。站点管理员在查看图片时可能被诱导访问非预期目录，从而导致敏感信息暴露。

影响范围：
参考链接：
https://www.oscs1024.com/hd/MPS-walt-90q7

漏洞评级：中危，4.1
修复建议：可选修复
POC情况：暂无POC

[此处为图片4]

Gallery 应用被发现存在身份验证绕过漏洞（CVE-2025-58308），成功利用将影响服务的机密性。该漏洞允许未经授权的访问行为发生，增加数据泄露风险。

影响范围：
参考链接：
https://www.oscs1024.com/hd/MPS-h2ra-pzgs

漏洞评级：高危，7.3
修复建议：建议修复
POC情况：暂无POC

[此处为图片5]

libexpat 库在版本 2.7.3 及以下版本中存在性能层面的安全隐患。攻击者可构造一个大小约为 2 MiB 的恶意文件，导致解析过程消耗数十秒的处理时间，可能引发拒绝服务情况。

影响范围：
libexpat，[0,+∞)

参考链接：
https://www.oscs1024.com/hd/MPS-ow98-y0t3

漏洞评级：高危，7.1
修复建议：建议修复
POC情况：暂无POC

[此处为图片6]

文件管理模块中存在权限控制缺陷（CVE-2025-58305），攻击者可能利用此漏洞突破访问限制，进而访问受保护资源，影响系统的机密性。

影响范围：
参考链接：
https://www.oscs1024.com/hd/MPS-2ivc-9134

漏洞评级：中危，6.2
修复建议：可选修复
POC情况：暂无POC

[此处为图片7]

调用模块中存在的安全检查机制不充分问题被标记为 CVE-2025-66382。由于缺乏适当的准则性验证，攻击者可能触发非预期的功能执行流程，导致系统运行异常。

影响范围：
参考链接：
https://www.oscs1024.com/hd/MPS-a5ti-efbz

漏洞评级：低危，2.9
修复建议：可选修复
POC情况：暂无POC

[此处为图片8]

Apache Kvrocks的MONITOR命令中存在漏洞，导致明文凭据暴露。该问题影响从1.0.0版本至2.13.0版本的Apache Kvrocks。建议用户升级至已修复此问题的2.14.0版本以确保系统安全。

漏洞评级：高危，评分为8

修复建议：建议尽快修复

POC情况：目前暂无公开的POC

影响范围：

参考链接：
https://www.oscs1024.com/hd/MPS-hq3e-ajs5

[此处为图片1]

Keras 3.11.3版本中的keras.utils.get_file()函数在处理tar归档文件时存在路径遍历漏洞。由于该函数调用了Python的tarfile.extractall()方法，但未启用安全参数filter='data'，因此可能导致任意文件被写入缓存目录之外的位置。虽然Keras通过filter_safe_paths()对路径进行了前置过滤，但由于在提取过程中存在PATH_MAX相关的符号链接解析问题，攻击者可利用该缺陷绕过防护机制，实现越权写入，进而可能引发系统被控或恶意代码执行。

此漏洞主要影响使用get_file()处理tar包且未自行添加安全过滤措施的Keras部署环境。

漏洞评级：中危，评分为5.9

修复建议：可选修复

POC情况：暂无公开POC

影响范围：

参考链接：
https://www.oscs1024.com/hd/MPS-nkro-0e49

[此处为图片2]

Mattermost是一款由美国Mattermost公司开发的开源协作平台。其多个版本存在安全漏洞，其中一项严重漏洞源于OAuth状态令牌验证不足，可能被利用导致账户接管。

受影响版本包括：10.12.1及之前的所有10.12.x版本、10.11.4及之前的10.11.x版本、10.5.12及之前的10.5.x版本，以及11.0.3及之前的11.0.x版本。

影响范围：
github.com/mattermost/mattermost/server/channels/app，[10.5.0,10.5.13)、[10.11.0,10.11.5)、[10.12.0,10.12.2)、[11.0.0-alpha.1,11.0.4)

漏洞评级：严重，评分为9.9

修复建议：建议立即修复

POC情况：暂无公开POC

参考链接：
https://www.oscs1024.com/hd/MPS-wbkc-jl6v

[此处为图片3]

另一项Mattermost的安全漏洞与团队电子邮件地址的清理机制不充分有关，可能导致敏感信息泄露。

受影响版本为：11.0.2及之前的11.0.x版本、10.12.1及之前的10.12.x版本、10.11.4及之前的10.11.x版本，以及10.5.12及之前的10.5.x版本。

影响范围：
github.com/mattermost/mattermost/server/channels/api4，[10.11.0,10.11.5)、[11.0.0-alpha.1,11.0.3)、[10.5.0,10.5.13)、[10.12.0,10.12.2)

漏洞评级：中危，评分为4.3

修复建议：可选修复

POC情况：暂无公开POC

参考链接：
https://www.oscs1024.com/hd/MPS-6yhu-ltkj

[此处为图片4]

ThingsBoard是由ThingsBoard团队开发的一款基于Java的物联网（IoT）设备管理与数据监控平台。在4.2.1之前版本中存在一个安全漏洞，源于Image Gallery功能允许上传恶意SVG图像文件，从而可能触发存储型跨站脚本（XSS）攻击。

漏洞评级：中危，评分为6.2

修复建议：可选修复

POC情况：暂无公开POC

影响范围：

参考链接：
https://www.oscs1024.com/hd/MPS-lkas-6c4x

[此处为图片5]

ABB特瑞拉AC墙盒产品中发现栈缓冲区溢出漏洞，影响范围涵盖至1.8.33版本的所有发布版本。

漏洞评级：中危，评分为5.3

修复建议：可选修复

POC情况：当前暂无可用POC

参考链接：
https://www.oscs1024.com/hd/MPS-lkas-6c4x

[此处为图片6]

Netskope官方确认其Windows平台上的代理程序（NS Client）存在潜在安全风险。经分析，具备管理员权限的本地认证用户可能通过不当加载驱动程序作为通用内核服务的方式触发该漏洞，最终导致系统崩溃（蓝屏死机），造成目标机器拒绝服务（DoS）。

漏洞评级：中危

修复建议：建议关注厂商后续补丁更新

POC情况：暂无公开POC

影响范围：

参考链接：
https://www.oscs1024.com/hd/MPS-l14d-ag3c

[此处为图片7]

Google Chrome V8<14.1.99 Extensions 模块代码注入漏洞

漏洞评级：高危，7.5

修复建议：建议修复

POC情况：存在POC

V8 是 Google 开源的高性能 JavaScript 引擎，广泛用于 Chrome 浏览器、Node.js 和 Electron 等平台，负责脚本执行与底层堆内存管理。

在受影响版本中，V8 解析器处理 v8::Extension 时存在策略缺陷，允许扩展代码使用以 % 开头的原生语法。由于扩展源码及其编译缓存存储于沙箱堆内存中且缺乏完整性校验机制，攻击者可利用沙箱内的读写原语篡改内存数据，诱导解析器编译并执行恶意特权函数，从而绕过沙箱限制，实现任意代码执行。

该问题已在修复版本中解决。通过修改 src/parsing/parser-base.h 文件，移除了 Token::kMod 对 ParsingExtension() 的判断逻辑。新机制不再默认支持扩展使用原生语法，仅当全局调试标志启用时才允许解析内置函数，从语法分析阶段阻断恶意特权代码的注入路径。

影响范围：

• chrome，(-∞,141.0.7370.0)
• chromium，(-∞,141.0.7370.0)
• v8，(-∞,14.1.99)

参考链接：https://www.oscs1024.com/hd/MPS-26rj-k4f0

[此处为图片1]

Mattermost 安全漏洞

漏洞评级：严重，9.9

修复建议：建议修复

POC情况：暂无POC

Mattermost 是由美国 Mattermost 公司开发的一款开源协作平台，广泛应用于团队沟通与项目管理。

该平台存在一处安全漏洞，源于代码交换令牌的验证机制不足，可能被攻击者利用导致账户接管。以下版本受到影响：11.0.2 及之前的所有 11.0.x 版本、10.12.1 及之前的 10.12.x 版本、10.11.4 及之前的 10.11.x 版本，以及 10.5.12 及之前的 10.5.x 版本。

影响范围：

• github.com/mattermost/mattermost/server/channels/web，[10.11.0,10.11.5)
• [11.0.0-alpha.1,11.0.3)
• [10.12.0,10.12.2)
• [10.5.0,10.5.13)

参考链接：https://www.oscs1024.com/hd/MPS-gj39-cnv5

[此处为图片2]

供应链投毒预警：NPM 组件窃取主机敏感信息

漏洞描述：

多个 NPM 组件被发现存在恶意行为，在安装过程中会收集用户的主机名、用户名、IP 地址等敏感系统信息，并将其发送至攻击者控制的远程服务器。

其中，@dlir2404/n8n-nodes-tiktok 在多个特定版本中均包含此类恶意逻辑，包括 1.0.6、1.0.7、1.0.8、1.0.9、1.0.12 和 1.0.13 版本。

此外，@vodkabydlo/js-uploader 等组件也被确认参与此次供应链投毒事件，涉及范围更广，涵盖多个不同用途的包，如上传工具、格式化工具、AI 模块、游戏连接库等。

影响范围：

• @dlir2404/n8n-nodes-tiktok，[1.0.6,1.0.6]、[1.0.7,1.0.7]、[1.0.8,1.0.8]、[1.0.9,1.0.9]、[1.0.12,1.0.12]、[1.0.13,1.0.13]
• @vodkabydlo/js-uploader，[999.0.0,999.0.0]
• @vodkabydlo/prettier2，[999.0.0,999.0.0]
• @vodkabydlo/prettier3，[999.0.0,999.0.0]
• accounts-base，[1.0.0,23.5.6]
• allow-deny，[1.0.0,13.4.6]
• booms-ai，[1.0.0,1.0.0]
• chain-selectors，[2.2.2,2.2.2]
• chia-gaming-lobby-connection，[1.2.2,2.2.2]
• codemirror-5，[2.0.0,2.0.0]
• com.unity.sharp-zip-lib，[2.0.0,2.0.0]
• css-preprocess，[1.0.0,1.1.4]
• data-xabit，[1.2.2,1.2.2]
• ddos-c2，[1.0.0,1.0.0]
• node-calculator-0d96，[1.0.0,6.6.6]
• node-calculator-x7k9-evil，[9999.9.9999,9999.9.99999999]
• paramset-validator，[1.0.1,2.4.1]
• resethp，[1.0.0,1.0.1]

参考链接：https://www.oscs1024.com/hd/MPS-zk1l-vjyt

[此处为图片3]

NPM组件包 br2s-ui-componentlibrary_r2 存在安全漏洞，可能窃取用户主机敏感信息。

漏洞描述：

在安装受影响版本的 br2s-ui-componentlibrary_r2 等NPM组件时，会收集用户的主机名、用户名以及IP地址等关键信息，并将其传输至攻击者可控制的远程服务器。

影响范围：

br2s-ui-componentlibrary_r2，[4.0.0,4.0.0]

[此处为图片1]

NPM组件 @chatclub1/claude-code 被发现存在恶意行为，可能导致主机信息泄露。

漏洞描述：

当用户安装该组件的特定版本时，程序会在后台偷偷采集主机名、系统用户名、公网IP地址及环境变量等敏感数据，并将这些信息发送到攻击者指定的服务器。

影响范围：

@chatclub1/claude-code，[2.0.55,2.0.55]

[此处为图片2]

NPM组件 signup-failover 存在信息窃取风险。

漏洞描述：

一旦安装了受影响版本的 signup-failover 组件，其恶意代码便会执行，获取用户的主机名、登录用户名以及钱包私钥等高危信息，并上传至攻击者掌控的服务器。

影响范围：

signup-failover，[13.1.0,13.1.0]

[此处为图片3]

NPM组件 esoftplay-event 被检测出具有数据外传行为。

漏洞描述：

该组件在被安装后会收集用户的电子邮箱地址、设备详细信息以及场馆或闸机相关的操作日志，并通过Telegram渠道将数据发送至攻击者所控制的接收端。

影响范围：

esoftplay-event，[0.0.2-g,0.0.2-g]

[此处为图片4]

此外，以下组件也被确认涉及类似的安全问题：

• rum-events-format，影响版本范围：[1.0.0,10.1.0]
• wartsila-application-json，影响版本范围：[1.0.0,1.0.0]
• wartsila-text-csv，影响版本范围：[1.0.0,1.0.0]

[此处为图片5]

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：供应链 Organisation controller WordPress Channels

相关内容：软件供应链安全汇总