「2025年11月23日」新增「14」条漏洞预警信息,其中
- CVE漏洞预警「11」条
- 商业软件漏洞预警「0」条
- 供应链投毒预警「3」条
CVE漏洞预警
CVE-2025-13544 漏洞
漏洞评级: 中危,5.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: Ashraf Kabir旅行社系统存在一个漏洞,影响版本至1f25aa03544bc5fb7a9e846f8a7879cecdb0cad3。受影响的是/customer_register.php文件中的未知功能。执行操纵可能导致无限制上传。攻击者可以远程发动攻击。漏洞利用方法已经公开,存在被利用的风险。该产品采用滚动发布的方式提供持续交付。因此,无法提供受影响的版本和更新版本的详细信息。供应商在早期已被告知此披露信息,但未作出任何回应。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-uwpx-7eo6
CVE-2025-13545 漏洞
漏洞评级: 中危,5.1
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: Ashraf Kabir旅行社系统存在一个安全漏洞,影响版本至1f25aa03544bc5fb7a9e846f8a7879cecdb0cad3。该漏洞影响未知功能的文件/admin_area/index.php。通过操纵参数edit_pack可以导致SQL注入攻击。攻击可以远程发起,该漏洞已被公开披露并可能被利用。此产品采用滚动发布的方式进行持续集成和持续交付,因此无法提供受影响版本或更新版本的详细信息。供应商已提前收到关于此披露的通知,但未作出任何回应。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-9cos-3nev
CVE-2025-13546漏洞
漏洞评级: 中危,5.3
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: 在ashraf-kabir旅行社系统中发现了一个漏洞,影响范围包括某些未知功能的Search组件中的/results.php文件。攻击者可以通过操纵user_query参数来实现SQL注入攻击。这种攻击可以远程进行,并且已经存在公开的漏洞利用方法。此外,该产品没有使用版本控制,因此无法确定哪些版本受到影响,哪些版本未受影响。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-wlx9-1y5p
CVE-2025-13547漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 在D-Link DIR-822K和DWR-M920 1.00_20250513164613/1.1.50版本中发现了一个漏洞。该漏洞影响未知部分的文件/boafrm/formDdns。对参数submit-url的操作会导致内存损坏。攻击可能远程发起。该漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-dbc2-19w3
CVE-2025-13548漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: 在D-Link DIR-822K和DWR-M920 1.00_20250513164613/1.1.50版本中发现了一个漏洞。这个漏洞影响了文件/boafrm/formFirewallAdv中的未知代码。通过操纵参数submit-url可以导致缓冲区溢出。攻击可能远程发起。该漏洞已被公开披露,并且可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-18g7-jv4p
CVE-2025-13549 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: D-Link DIR-822K 1.00存在一个漏洞。该漏洞影响位于文件/boafrm/formNtp中的函数sub_455524。操纵参数submit-url会导致缓冲区溢出。攻击者可能远程利用此漏洞进行攻击。该漏洞已被公开并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-4cv8-oiy2
CVE-2025-13550漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: D-Link DIR-822K和DWR-M920 1.00_20250513164613/1.1.50存在一个漏洞。受影响的是文件/boafrm/formVpnConfigSetup中的一个未知功能。通过操作参数submit-url进行操纵可能导致缓冲区溢出。攻击可以远程执行。该漏洞已被公开披露并可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-m2y9-f4w7
CVE-2025-13551 漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: D-Link DIR-822K和DWR-M920 1.00_20250513164613/1.1.50存在一个漏洞。受影响的部分是文件/boafrm/formWanConfigSetup的一个未知功能。操纵参数submit-url会导致缓冲区溢出。攻击可能远程进行。该漏洞的利用方法是公开的,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-zuti-60y4
CVE-2025-13553漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: D-Link DWR-M920 1.1.50存在一个漏洞,该漏洞影响文件/boafrm/formPinManageSetup中的函数sub_41C7FC。操纵参数submit-url会导致缓冲区溢出。攻击者可远程发起攻击。该漏洞已被公开,可能会被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-q139-k6s5
CVE-2025-13552漏洞
漏洞评级: 高危,7.4
修复建议: 建议修复
POC情况: 暂无POC
漏洞描述: D-Link DIR-822K和DWR-M920 1.00_20250513164613/1.1.50存在一个安全漏洞。受影响元素是文件/boafrm/formWlEncrypt的一个未知功能。操作参数submit-url会导致缓冲区溢出。攻击可能来自远程。该漏洞已经向公众发布,可能被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-rast-km8d
CVE-2025-13554 漏洞
漏洞评级: 中危,6.9
修复建议: 可选修复
POC情况: 暂无POC
漏洞描述: Campcodes供应商管理系统1.0存在一个安全漏洞。该漏洞影响登录组件中名为/index.php的文件的一个未知功能。操纵参数txtUsername会导致SQL注入。攻击者可能远程发起攻击。该漏洞已被公开披露并可被利用。
影响范围:
参考链接: https://www.oscs1024.com/hd/MPS-t2km-9xec
供应链投毒预警
PyPI仓库 nspacercesolve 组件窃取用户敏感信息
漏洞描述: 当用户安装受影响版本的 nspacercesolve Python组件包时会获取系统中所有名为 /flag_* 的文件并发送到攻击者可控的服务器地址。
影响范围: nspacercesolve,[0.0.1,0.0.7]
参考链接: https://www.oscs1024.com/hd/MPS-urlj-07m1
NPM组件 ddos-hunter 存在勒索行为
漏洞描述: 受影响版本的 ddos-hunter NPM 组件在被安装时会劫持用户终端界面,阻断正常操作,并通过恐吓信息引导用户访问攻击者提供的联系方式,从而诱骗其支付勒索金。
影响范围: ddos-hunter,[1.0.0,1.0.2]、[1.0.3,1.0.3]、[1.0.4,1.0.4]、[1.0.5,1.0.5]
参考链接: https://www.oscs1024.com/hd/MPS-hnif-sp4e
NPM组件 session-keeper 等内嵌后门
漏洞描述: 当用户安装受影响版本的 session-keeper 等NPM组件包时会从攻击者可控的C2服务器下载并执行恶意代码,攻击者可对用户主机进行远控。
影响范围: assert-json-not,[2.3.5,2.3.5]
auth-handler,[0.0.1,2.5.8]
buffer-envjs,[1.0.0,1.0.6]
init-router,[2.0.1,2.0.1]
json-panels,[2.3.8,2.3.8]
react-flex-tools,[2.0.1,2.0.1]
rl-mix,[1.0.0,1.0.1]
rpc-validator,[1.0.0,1.0.1]
session-keeper,[2.4.5,2.5.5]
session-parer,[2.3.8,2.3.8]
参考链接: https://www.oscs1024.com/hd/MPS-vecu-orhm