每日安全简讯(20250302)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 一个流行的WordPress插件中存在安全漏洞
一个流行的WordPress插件Essential Addons for Elementor中存在安全漏洞,超过200万个网站面临风险。 该漏洞被标识为CVE-2025-24752,CVSS评分为7.1,是一个跨站脚本(XSS)漏洞,可能允许攻击者将恶意脚本注入到用户浏览器中。该漏洞源于对查询参数的验证不足。在补丁发布之前,该插件只会简单地将下划线符号替换为空格,然后将参数的值直接嵌入到页面中,而没有任何进一步的检查,这种缺陷使得攻击者能够注入恶意JavaScript代码。通过简单地构造一个恶意URL,攻击者可能会窃取用户凭据,将访问者重定向到钓鱼网站,甚至篡改整个网站。该插件的开发人员发布了6.0.15版本以解决该漏洞。建议所有使用Essential Addons for Elementor的用户立即更新至最新版本。
https://securityonline.info/cve-2025-24752-massive-wordpress-plugin-vulnerability-exposes-millions-to-xss-attacks/
2 GitLab修复多个安全漏洞
GitLab发布安全公告,称其平台中存在多个安全漏洞,其中包括两个跨站脚本(XSS)漏洞,攻击者可借此绕过安全控制并在用户浏览器中执行恶意脚本。这两个漏洞被标识为CVE-2025-0475(CVSS评分8.7)和CVE-2025-0555(CVSS评分7.7),影响多个版本的自我管理实例,攻击者能够利用漏洞进行会话劫持、凭据窃取和未经授权的系统访问。此外,还有三个漏洞分别为CVE-2024-8186(CVSS评分5.4)、CVE-2024-10925(CVSS评分5.3)、CVE-2025-0307(CVSS评分4.3)。GitLab对此发布了修复版本17.9.1、17.8.4和17.7.6,所有使用受影响版本的组织应立即进行更新。
https://cybersecuritynews.com/gitlab-vulnerabilities-bypass-security-controls/
3 LibreOffice修复一个安全漏洞
LibreOffice中的一个安全漏洞(CVE-2025-0514)已被修复,此前研究人员发现,经过定制的文档可以绕过安全措施,并在Windows系统上执行恶意文件。该漏洞CVSS评分为7.2,通过利用LibreOffice的超链接处理机制中的缺陷,使用户遭受远程代码执行 (RCE) 攻击。此漏洞影响Windows上的LibreOffice 24.8到24.8.4版本。成功利用该漏洞需要用户交互,因为用户必须在按住CTRL键的同时单击超链接才会触发该漏洞。但是,攻击者可以将此类链接嵌入到看似无害的文档(如发票或报告)中,以提高漏洞被触发的可能性。LibreOffice 24.8.5版本修复了该漏洞,该安全更新修改了非文件URL的处理方式,确保它们不再绕过可执行路径检查。建议所有使用LibreOffice的Windows用户进行更新。
https://cybersecuritynews.com/libreoffice-vulnerabilities-code-execution/
4 Ivanti修复其ICS设备中的安全漏洞
Ivanti修复其Ivanti Connect Secure (ICS)设备中的一个安全漏洞CVE-2025-22467,该漏洞使得受影响的设备容易遭到远程代码执行 (RCE) 攻击。该漏洞的CVSS评分为 9.9,被归类为基于堆栈的缓冲区溢出,影响ICS 22.7R2.6之前的版本。该漏洞源于对用户输入的处理不当,使经过身份验证的攻击者能够远程执行任意代码。如果被利用,可能导致系统遭到入侵。虽然尚未有该漏洞被利用的报告,但鉴于该漏洞的严重性,遭到滥用的可能性仍然很高。Ivanti已在ICS 22.7R2.6版本中发布了安全补丁。建议管理员将ICS设备更新至最新版本。
https://cybersecuritynews.com/2850-ivanti-connect-secure-devices-vulnerable/
5 思科修复Nexus交换机中的安全漏洞
思科发布安全公告称,修复了其Nexus 3000和9000系列交换机中的一个安全漏洞,该漏洞可能允许攻击者进行拒绝服务(DoS)攻击。该漏洞源于对特定以太网帧处理不当,未经身份验证的攻击者可以通过向受影响设备发送持续速率的特制以太网帧来利用此漏洞。成功利用该漏洞可能导致设备重启,从而中断网络运行。思科已发布软件更新来修复该漏洞,受影响的客户可以通过其常用的更新渠道获取这些修复程序。
https://cybersecuritynews.com/cisco-nexus-switches-vulnerability-dos/
6 法国电信运营商Orange集团证实数据遭到泄露
Orange集团已确认遭受网络攻击,但表示仍在调查是否有重要的数据泄露。HellCat勒索组织中一名昵称为“Rey”的成员称获取了380000个电子邮件地址、源代码、发票、合同以及客户和员工信息,总共获得了大约12000个文件,大小约6.5GB。虽然这不是一次勒索软件攻击,但攻击者留下了一份勒索信,并试图向该公司勒索钱财。Orange集团确认其遭受了网络攻击,并正在调查此事。该公司的一位代表表示,Orange集团可以确认其在罗马尼亚的分公司成为网络攻击的目标,客户的运营没有受到影响,并且发现漏洞在非关键的后台应用程序上。Orange集团没有与攻击者进行谈判,后来攻击者在黑客论坛中发布了数据。虽然其中的一份数据样本得到验证,但这些数据较为古老。
https://www.techradar.com/pro/security/orange-confirms-it-suffered-breach-after-hacker-leaks-company-documents
页:
[1]