漏洞风险提示(20250328)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 VLLM Mooncake pickle反序列化漏洞(CVE-2025-29783)
一、漏洞描述:
vLLM是一个快速、易用的大模型推理服务引擎。其旧版Mooncake组件存在pickle反序列化漏洞,当vLLM配置使用了Mooncake作为分布式kvcache并将端口开放在外时,未经授权的远程攻击者可向Mooncake发送恶意的序列化数据,实现远程代码执行,导致服 务器失陷。
二、风险等级:
高
三、影响范围:
0.6.5<= VLLM <0.8.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/vllm-project/vllm/releases
2 Yii2反序列化漏洞(CVE-2025-2689)
一、漏洞描述:
在yiisоft Yii2版本至2.0.45中发现了一个被分类为严重的漏洞,这个问题影响到了文件sуmfоnу\findеr\Itеrаtоr\SоrtаblеItеrаtоr.рhр中的ɡеtItеrаtоr函数,通过操作可以导致反序列化。
二、风险等级:
高
三、影响范围:
yiisoft/yii2-dev<2.0.45
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/yiisoft/yii2
3 Spring Security授权绕过漏洞(CVE-2025-22223)
一、漏洞描述:
Spring Security 是一个强大且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它提供了一系列安全功能,包括认证、授权、攻击防护和会话管理,帮助开发者轻松实现安全性要求。Spring Security 支持多种身份验证机制,如表单登录、OAuth 2.0、LDAP等,同时与Spring生态系统无缝集成,使得在Spring应用中实施安全策略变得简单高效。无论是构建Web应用还是RESTful服务,Spring Security 都能提供强大的安全保障,确保应用程序的安全性和可靠性。该漏洞是因为使用 @EnableMethodSecurity, 或者没有参数化类型或方法上的方法安全注释,或者所有方法安全注释都附加到目标方法,导致绕过授权。
二、风险等级:
高
三、影响范围:
6.4.0<=Spring Security<=6.4.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/spring-projects/spring-security/releases/tag/6.4.4
4 Mattermost MFA绕过漏洞 (CVE-2025-25068)
一、漏洞描述:
Mаttеrmоѕt版本10.4.х<=10.4.2,10.3.х<=10.3.3,9.11.х<= 9.11.8,10.5.х<=10.5.0未能在插件端点上强制执行多因素认证(MFA),这允许经过身份验证的攻击者通过向插件特定路由的API请求绕过MFA保护。
二、风险等级:
高
三、影响范围:
10.4.0<=Mattermost<=10.4.2
9.11.0<=Mattermost<=9.11.8
Mattermost==10.6.0
Mattermost==10.4.3
Mattermost==10.5.0
10.3.0<=Mattermost<=10.3.3
Mattermost==10.5.1
Mattermost==9.11.9
Mattermost==10.3.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://mattermost.com/security-updates
页:
[1]