漏洞风险提示（20250815）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Microsoft GitHub Copilot远程代码执行漏洞（CVE-2025-53773）
一、漏洞描述：
       
        GitHub Copilot是微软开发的AI驱动代码助手，广泛应用于Visual Studio Code、Visual Studio等开发环境中，为全球数百万开发者提供智能代码补全和生成服务。
        Microsoft GitHub Copilot存在远程代码执行漏洞，该漏洞源于通过提示注入技术，诱导AI助手修改项目配置文件（如settings.json），将Copilot置于"YOLO模式"，从而绕过安全限制执行任意代码，攻击者可利用该漏洞通过在代码库中植入不可见字符或恶意指令，当开发者使用Copilot时触发代码执行，实现对开发者机器的完全控制，导致权限提升和远程代码执行。
二、风险等级：
        高
三、影响范围：
        Microsoft GitHub Copilot for Visual Studio Code
        Microsoft GitHub Copilot for Business
        Microsoft GitHub Copilot for Visual Studio
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2025-53773

---

2 上海上讯信息技术股份有限公司运维管理审计系统存在逻辑缺陷漏洞（CNVD-2025-18394）
一、漏洞描述：
       
        上海上讯信息技术股份有限公司（以下简称“上讯信息”）成立于2010年12月，是IT智能安全运维与数据治理、安全服务等领域国内领先供应商之一。
        上海上讯信息技术股份有限公司运维管理审计系统存在逻辑缺陷漏洞，攻击者可利用该漏洞绕过验证登录系统。
二、风险等级：
        高
三、影响范围：
        上海上讯信息技术股份有限公司 运维管理审计系统
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.suninfo.com

---

3 NVIDIA Megatron-LM代码注入漏洞（CVE-2025-23305）
一、漏洞描述：
       
        适用于所有平台的 NVIDIA Megatron-LM 在工具组件中包含一个漏洞，攻击者可能会利用代码注入问题。成功利用此漏洞可能会导致代码执行、权限升级、信息泄露和数据篡改。
二、风险等级：
        高
三、影响范围：
        Megatron-LM<0.12.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://nvidia.custhelp.com/app/answers/detail/a_id/5685

---

4 skops远程代码执行漏洞（CVE-2025-54886）
一、漏洞描述：
       
        skops是一个Python库，专门用来安全地打包、发布和加载scikit-learn模型。
        skops在0.12.0及之前版本中存在远程代码执行漏洞。该漏洞位于Card.get_model方法，是由于对文件格式判断逻辑不完整，导致.skops以外的文件被静默回退到joblib加载。攻击者可利用该漏洞通过构造恶意模型文件，在加载时触发任意代码执行。
二、风险等级：
        高
三、影响范围：
        skops <=0.12.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/skops-dev/sko ... 8f32cc72a1a87211cda

---