漏洞风险提示（20251029）

发表于 2025-10-29 09:40

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 GitHub Desktop凭据保护不足漏洞（CVE-2025-23040）
一、漏洞描述：
屏幕截图 2025-10-29 092800.jpg

      GitHub Desktop是GitHub Desktop开源的一个GitHub桌面版。
GitHub Desktop 3.4.12之前版本存在凭据保护不足漏洞，攻击者可利用该漏洞诱导用户直接复制存储库或通过特制的恶意远程URL访问用户凭据。
二、风险等级：
      高
三、影响范围：
      GitHub Desktop 3.4.12之前版本
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://docs.github.com/en/apps/ ... tion-of-github-apps

2 WUZHI CMS服务器端请求伪造漏洞（CVE-2025-0480）
一、漏洞描述：
屏幕截图 2025-10-29 092840.jpg

      WUZHI CMS是WUZHI公司的一套基于PHP和MySQL的开源内容管理系统（CMS）。
WUZHI CMS 4.1.0版本的coreframe/app/search/admin/config.php文件存在服务器端请求伪造漏洞，该漏洞源于程序未正确过滤sphinxhost输入和参数，攻击者可利用该漏洞检测内部网络端口是否开启。
二、风险等级：
      高
三、影响范围：
      WUZHI CMS WUZHI CMS 4.1.0
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://vuldb.com/?submit.474965

3 CrafterCMS资源泄漏漏洞（CVE-2025-0502）
一、漏洞描述：
屏幕截图 2025-10-29 093155.jpg

      CrafterCMS是CrafterCMS公司的一个基于Java的CMS。
CrafterCMS 4.0.0至4.0.8之前版本和4.1.0至4.1.6之前版本存在资源泄漏漏洞，攻击者可利用该漏洞将私人资源向新域转移并导致目录索引和资源泄漏。
二、风险等级：
      高
三、影响范围：
      CrafterCMS CrafterCMS 4.1.0 至 4.1.5 版本
      CrafterCMS CrafterCMS 4.0.0 至 4.0.7 版本
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://craftercms.com/docs/curr ... .html#cv-2025011501

4 Redis有效生命周期后内存未释放漏洞（CVE-2025-46686）
一、漏洞描述：
屏幕截图 2025-10-29 093444.jpg

      Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的API。
Redis 7.4.3及之前版本存在有效生命周期后内存未释放漏洞，该漏洞源于多批量命令内存分配不当，已登录的低权限攻击者可利用该漏洞通过发送一个包含巨量参数的命令，在服务器进行权限检查之前，通过解析命令的过程耗尽服务器内存。
二、风险等级：
      高
三、影响范围：
      Redis Redis版本 ≤ V8.0.3
四、修复建议：
      目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
      https://github.com/redis/redis/releases

		自动登录	找回密码
密码			注册创意安天