「2025年11月03日」新增「29」条漏洞预警信息,其中
- CVE漏洞预警「21」条
- 商业软件漏洞预警「1」条
- 供应链投毒预警「7」条
CVE漏洞预警
CVE-2025-12604漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 发现了一个名为itsourcecode在线贷款管理系统1.0的漏洞。该漏洞影响文件/load_fields.php的一个未知部分。对参数loan_id的操作会导致SQL注入。攻击可能远程发起。该漏洞已被公开披露,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-cz1m-qpsk
CVE-2025-12605漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 找到了itsourcecode在线贷款管理系统1.0的一个漏洞。该漏洞影响了/manage_loan.php文件中的未知代码。操纵参数ID会导致SQL注入。攻击可能远程发起。漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-ovfz-42d9
CVE-2025-12606漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在itsourcecode在线贷款管理系统1.0中发现了一个漏洞。这个问题影响了未知的文件处理过程/manage_borrower.php。对参数ID进行操纵会导致SQL注入。远程攻击是可能的。该漏洞已被公开披露并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-47xc-oh6l
CVE-2025-12608 漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 发现itsourcecode在线贷款管理系统1.0存在一个安全漏洞。受影响元素是/manage_user.php的一个未知功能。对参数ID进行操纵可导致SQL注入。攻击可能远程执行。漏洞利用方法已经公开,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-0bn1-5hfe
CVE-2025-12607漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在itsourcecode在线贷款管理系统1.0中发现了一个漏洞。受影响的是文件/manage_payment.php的一个未知功能。对参数ID进行这样的操纵会导致SQL注入。攻击可以远程执行。漏洞利用是公开的,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-f28i-eguj
CVE-2025-12609 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在CodeAstro健身房管理系统1.0中发现了一个漏洞。该问题影响文件/admin/update-progress.php的某些未知功能。通过操作参数id/ini_weight可以导致SQL注入。攻击可能是远程发起的。该漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-5n2f-zdei
CVE-2025-12610 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: CodeAstro健身房管理系统1.0存在一个漏洞。该漏洞影响未知部分的文件/admin/view-progress-report.php。操纵参数ID可能导致SQL注入。攻击可能远程发起。该漏洞已被公开披露并可被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-ri3m-kq82
CVE-2025-12612 漏洞
漏洞评级: 中危,5.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: Campcodes学费支付管理系统1.0存在一个安全漏洞。这个问题影响到了/ajax.php文件的某些未知处理过程。操纵结果导致SQL注入。攻击可以远程执行。漏洞已经向公众发布,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-witk-036p
CVE-2025-12614 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: SourceCodester最佳房屋租赁管理系统1.0存在一个漏洞。受影响的是位于/admin_class.php文件中的delete_payment函数。该函数的参数ID被操纵导致了SQL注入。攻击可能远程进行。该漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-pzki-rxvm
CVE-2025-12611 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 发现Tenda AC21 16.03.08.16存在一个漏洞。该漏洞影响位于/goform/SetPptpServerCfg文件中的formSetPPTPServer功能。操作参数startIp会导致缓冲区溢出。存在远程攻击的可能性。该漏洞的利用方法是公开的,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-d6cl-t9aj
CVE-2025-48396漏洞
漏洞评级: 高危,8.3
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 由于Eaton BLSS的文件上传功能验证不当,可能导致任意代码执行。这一安全问题已在最新版本的Eaton BLSS(7.3.0.SCP004)的脚本补丁中得到修复。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-92se-a7ct
CVE-2025-12622 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 腾达AC10版本16.03.10.13存在一个漏洞。受影响的功能是文件/goform/SysRunCmd中的formSysRunCmd功能。该功能的参数操纵getui会引发缓冲区溢出。攻击可能远程发起。该漏洞已被公开披露并可被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-cuik-ntwx
CVE-2025-12623 漏洞
漏洞评级: 低危,2.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 一个漏洞被发现在fushengqian的fuint系统中,影响版本至41e26be8a2c609413a0feaa69bdad33a71ae8032。受影响的是组件"身份验证令牌处理程序"中的某个未知功能,具体在文件fuint-application/src/main/java/com/fuint/module/clientApi/controller/ClientSignController.java中。这一漏洞可能导致授权绕过。攻击可能远程发起,此类攻击高度复杂。已知利用此漏洞的难度较大,但存在公开的漏洞利用代码可能会被利用。此产品采用滚动发布模式,确保持续交付,因此没有提供受影响版本或更新版本的详细信息。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-i7oa-418z
CVE-2025-12619 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 发现Tenda A15版本15.13.07.13中的漏洞。受影响的功能是文件/goform/openNetworkGateway中的fromSetWirelessRepeat函数。操纵wpapsk_crypto2_4g参数会导致缓冲区溢出。攻击可以远程发起。该漏洞已经公开并且可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-ktmj-l803
CVE-2025-12618漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 发现了一个存在于Tenda AC8 16.03.34.06版本的漏洞。该漏洞影响未知功能的文件/goform/DatabaseIniSet。通过操纵参数Time导致缓冲区溢出。攻击可以远程发起。该漏洞已被公开披露,可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-g0kl-hatc
CVE-2025-12503 漏洞
漏洞评级: 高危,7.1
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 由Digiwin开发的EasyFlow .NET和EasyFlow AiNet存在SQL注入漏洞,允许经过身份验证的远程攻击者注入任意SQL命令以读取数据库内容。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-ubzf-jcis
CVE-2025-12617漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在itsourcecode计费系统1.0中发现了一个漏洞。该漏洞影响位于/admin/app/login_crud.php的未知功能。通过操作参数Password进行操纵可能导致SQL注入。攻击者可以远程发起攻击。该漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-rwnt-hgvf
CVE-2025-12616漏洞
漏洞评级: 中危,6.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: PHPGurukul新闻门户1.0存在一个漏洞。受影响元素是/onps/settings.py文件的一个未知功能。进行操纵会导致将敏感信息插入调试代码中。可以远程发起攻击。该攻击的复杂性被评为高级。可利用性被认为较难。该漏洞现已公开并可被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-beag-1q5l
CVE-2025-48397漏洞
漏洞评级: 高危,7.1
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 特权用户可能在启用应用程序协议后在没有足够凭据的情况下登录。这个问题已在Eaton BLSS的最新版本(7.3.0.SCP004补丁脚本)中得到修复。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-e5f9-qu3z
CVE-2025-0987 漏洞
漏洞评级: 严重,9.9
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: CB Project Ltd. Co. CVLand中存在用户控制密钥的授权绕过漏洞,允许参数注入。此问题影响CVLand 2.1.0至2025年发布的版本。
影响范围: cvland,[2.1.0,+∞)
参考链接: https://www.oscs1024.com/hd/MPS-afiy-m24r
CVE-2025-12626 漏洞
漏洞评级: 中危,5.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: Jeecgboot的jeewx-boot项目(版本至641ab52c3e1845fec39996d7794c33fb40dad1dd)中发现一个安全漏洞。该漏洞影响了WxActGoldeneggsPrizesController.java文件中的getImgUrl功能。对imgurl参数进行操作会导致路径遍历问题。存在远程攻击的可能性,该漏洞已被公开并可能被利用。此产品采用滚动发布方法持续交付,因此未提供受影响或已更新的版本的详细信息。虽然最初已经修复了根本原因,但可以通过额外的编码来规避。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-1j23-e0yb
商业软件漏洞预警
Google Chrome V8<14.0.306 WebAssembly模块沙箱绕过漏洞
漏洞评级: 严重,9.6
修复建议: 建议修复
POC情况: 存在POC
漏洞描述: Google V8 是一款开源的高性能 JavaScript 和 WebAssembly 引擎,广泛应用于 Chrome 浏览器及 Node.js 等项目中。
受影响版本中,V8 在实例化 WebAssembly 模块时存在逻辑缺陷。初始化阶段分配内存后,攻击者可通过访问器回调修改内部指针,导致后续访问越界写入并破坏内存。
修复版本中通过在实例化初始阶段固定并持有 NativeModule 的可信副本,确保整个流程使用同一对象,避免中途被篡改导致状态不一致,从而消除越界写入风险。
影响范围: chrome,(-∞,140.0.7318.0)
chromium,(-∞,140.0.7318.0)
v8,(-∞,14.0.306)
参考链接: https://www.oscs1024.com/hd/MPS-q4rz-d1x5
供应链投毒预警
PyPI仓库 faker-py123123thon 等组件窃取主机信息
漏洞描述: 当用户安装受影响版本的 faker-py123123thon 等Python组件包时会窃取用户的主机名、用户名、公网 IP、环境变量等信息并发送到攻击者可控的服务器地址。
影响范围: faker-py123123thon,[999.0.0,999.0.0]
faker-python,[999.0.0,999.0.1]
python-requirements-inspector,[999.0.0,999.0.1]
runway-python,[999.0.0,999.0.1]
参考链接: https://www.oscs1024.com/hd/MPS-6y7q-0vt4
NPM组件 acz.view.src 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 acz.view.src 等NPM组件包时会窃取用户的主机名、用户名、公网 IP、进程参数等信息并发送到攻击者可控的服务器地址。
影响范围: acz.view.src,[2.1.2,2.1.2]、[2.1.3,2.1.3]
balancer-labs-sor-v1,[3.4.3,5.0.9]
ethers-5,[3.4.3,5.0.9]
experience-manager-apis,[1.0.0,5.0.9]
fec-cms,[3.4.3,5.0.9]
loaders-fbo.gov,[3.4.3,5.0.9]
mbed-js,[3.4.3,5.0.9]
mbed-js-ble,[3.4.3,5.0.9]
mercury-composable,[3.4.3,5.0.9]
monoblast,[1.0.0,1.0.0]
monophonic,[1.0.0,1.0.0]
my-team-tools,[3.4.3,5.0.9]
orderly-network-config,[10.1.0,10.1.0]
pil2-compiler,[1.0.0,5.0.9]
solc_0.5.3,[3.4.3,5.0.9]
stark-recurser,[1.0.0,5.0.9]
wdk-pricing-provider,[10.1.0,10.1.0]
web3-1-4,[3.4.3,5.0.9]
webswing-directdraw-javascript,[1.0.0,1.0.2]
参考链接: https://www.oscs1024.com/hd/MPS-h78z-py9d
NPM组件 @chart-sg/node-red-rmf 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 @chart-sg/node-red-rmf 等组件包时会窃取用户的邮箱、系统信息、CI/CD 环境、公网 IP、进程参数等信息并发送到攻击者可控的服务器地址。
影响范围: @chart-sg/node-red-rmf,[1.0.1,1.0.1]
参考链接: https://www.oscs1024.com/hd/MPS-zi9n-mgja
NPM组件 @appropriate-team/blockmind-sdk 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 @appropriate-team/blockmind-sdk 等NPM组件包时会窃取用户的用户名、主机名、IP地址、环境变量等信息并发送到攻击者可控的服务器地址。
影响范围: @appropriate-team/blockmind-sdk,[0.0.27,0.0.27]、[0.0.28,0.0.28]、[0.0.29,0.0.29]、[0.0.25,0.0.25]、[0.0.26,0.0.26]、[0.0.30,0.0.30]、[0.0.31,0.0.31]、[0.0.32,0.0.32]、[0.0.33,0.0.33]、[0.0.34,0.0.34]、[0.0.35,0.0.35]
参考链接: https://www.oscs1024.com/hd/MPS-so27-xr1m
NPM组件 chai-await-test 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 chai-await-test 等组件包时会窃取用户的邮箱、系统信息、CI/CD 环境、公网 IP、进程参数等信息并发送到攻击者可控的服务器地址。
影响范围: chai-await-test,[2.3.8,2.3.8]、[2.4.1,2.4.1]
参考链接: https://www.oscs1024.com/hd/MPS-q02p-cna6
NPM组件 pc-experience-fe-components 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 pc-experience-fe-components 等NPM组件包时会窃取用户的邮箱、系统信息、CI/CD 环境、公网 IP、进程参数等信息并发送到攻击者可控的服务器地址。
影响范围: pc-experience-fe-components,[99.1.2,99.1.2]、[99.1.3,99.1.3]
参考链接: https://www.oscs1024.com/hd/MPS-kyvh-g4u5
NPM组件 jsonretype 等窃取主机敏感信息
漏洞描述: 当用户安装受影响版本的 jsonretype 等NPM组件包时会窃取用户的主机名、用户名、操作系统类型、当前工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
影响范围: jsonretype,[7.2.8,7.2.8]、[7.2.9,7.2.9]
参考链接: https://www.oscs1024.com/hd/MPS-by54-12eu