「2025年11月02日」新增「14」条漏洞预警信息,其中
- CVE漏洞预警「11」条
- 商业软件漏洞预警「0」条
- 供应链投毒预警「3」条
CVE漏洞预警
CVE-2025-12603漏洞
漏洞评级: 低危,2.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: /etc/timezone 文件可以被任意写入。这个问题影响了 BLU-IC2 至 1.19.5 版本以及 BLU-IC4 至 1.19.5 版本。
影响范围: BLU-IC2,(0,1.19.5]
BLU-IC4,(0,1.19.5]
参考链接: https://www.oscs1024.com/hd/MPS-23w6-tn9y
CVE-2025-12600漏洞
漏洞评级: 严重,10
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 通过API设置意外的语言环境时,Web UI会出现故障。此问题影响至BLU-IC2的1.19.5版本和BLU-IC4的1.19.5版本。
影响范围: BLU-IC2,(0,1.19.5]
BLU-IC4,(0,1.19.5]
参考链接: https://www.oscs1024.com/hd/MPS-fwjx-hpgl
CVE-2025-12602 漏洞
漏洞评级: 低危,2.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: /etc/avahi/services/z9.service 文件可以被任意写入。这个问题影响到了 BLU-IC2 版本至 1.19.5 以及 BLU-IC4 版本至 1.19.5。
影响范围: BLU-IC2,(0,1.19.5]
BLU-IC4,(0,1.19.5]
参考链接: https://www.oscs1024.com/hd/MPS-uj5h-3iyd
CVE-2025-12601漏洞
漏洞评级: 严重,10
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 由于SlowLoris导致拒绝服务问题。此问题影响以下版本:BLU-IC2至1.19.5版本;BLU-IC4至1.19.5版本。
影响范围: BLU-IC2,(0,1.19.5]
BLU-IC4,(0,1.19.5]
参考链接: https://www.oscs1024.com/hd/MPS-76df-ur5w
CVE-2025-12599漏洞
漏洞评级: 严重,10
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 多台设备正在共享相同的 SDKSocket(TCP/5000)密钥。这个问题影响到了 BLU-IC2 版本至 1.19.5 以及 BLU-IC4 版本至 1.19.5。
影响范围: BLU-IC2,(0,1.19.5]
BLU-IC4,(0,1.19.5]
参考链接: https://www.oscs1024.com/hd/MPS-bfoq-uwk8
CVE-2025-12593 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在代码项目"简单在线酒店预订系统 2.0"中发现了一个漏洞。受影响元素是组件图片处理器中的 /admin/edit_room.php 文件的一个未知功能。通过操纵该功能,可实现无限制上传。攻击可能远程执行。该漏洞的利用方法已公开,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-wov2-a7m4
CVE-2025-12594 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在代码项目"简单的在线酒店预订系统 2.0"中发现了一个安全漏洞。该漏洞影响了文件/admin/add_account.php的未知功能。操纵参数名称会导致SQL注入。攻击可能来自远程。漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-6gsh-ip7d
CVE-2025-12595 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 发现Tenda AC23 16.03.07.52中存在一个漏洞,影响位于/goform/SetVirtualServerCfg的formSetVirtualSer功能。对参数列表的操纵会导致缓冲区溢出。攻击者可远程发起攻击。该漏洞已被公开,可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-b5xz-ulv3
CVE-2025-12596 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 发现Tenda AC23 16.03.07.52中存在一个安全漏洞。受影响的功能是文件/goform/saveParentControlInfo中的saveParentControlInfo函数。该函数的参数Time被操纵导致缓冲区溢出。攻击者可以远程发起攻击。该漏洞已被公开披露并且可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-8q14-kxtp
CVE-2025-12597漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: SourceCodester最佳房屋租赁管理系统1.0存在一个漏洞。受影响的是/admin_class.php文件中的save_category函数。通过操作参数Name进行操纵会导致SQL注入。攻击可以远程发起。该漏洞现已公开并可被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-lgoa-j4w6
CVE-2025-12598 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 源码斯特最佳房屋租赁管理系统 1.0 中发现了一个漏洞。受影响的是文件 /admin_class.php 中的 save_tenant 函数。操纵参数 firstname 可以导致 SQL 注入。攻击可以远程发起。漏洞已被公开并可能被利用。其他参数也可能受到影响。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-spr0-te9c
供应链投毒预警
NPM组件 @appropriate-team/blockmind-sdk 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 @appropriate-team/blockmind-sdk 等NPM组件包时会窃取用户的用户名、主机名、IP地址、环境变量等信息并发送到攻击者可控的服务器地址。
影响范围: @appropriate-team/blockmind-sdk,[0.0.21,0.0.21]、[0.0.22,0.0.22]、[0.0.23,0.0.23]
参考链接: https://www.oscs1024.com/hd/MPS-urqx-ogd9
NPM组件 biatec-concentrated-liquidity-amm 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 biatec-concentrated-liquidity-amm 等NPM组件包时会窃取用户主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
影响范围: biatec-concentrated-liquidity-amm,[0.9.35,0.9.35]
参考链接: https://www.oscs1024.com/hd/MPS-mvn1-uq4j
NPM组件 containerization-assist 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 containerization-assist 等NPM组件包时会窃取用户的主机名、用户名、公网 IP、进程参数等信息并发送到攻击者可控的服务器地址。
影响范围: containerization-assist,[10.1.0,99.0.0]
internallib_v37,[1.0.1,1.0.3]
spectral-corsair,[999.999.999,999.999.1000]
tailwindcss-ultra,[1.0.0,1.0.0]
参考链接: https://www.oscs1024.com/hd/MPS-f3vx-7rjs