漏洞风险提示（20250828）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Coolify 远程代码执行漏洞（CVE-2025-34159）
一、漏洞描述：
        
        CVE-2025-34159是一个存在于Coolify应用部署流程中的远程代码执行漏洞。该平台允许拥有低权限成员身份的认证用户，在项目创建过程中注入任意Docker Compose指令。
        通过精心构造的服务定义，攻击者可以挂载宿主机的根文件系统，从而获得对底层服务器的完全root访问权限。
二、风险等级：
        高
三、影响范围：
        Coolify v4.0.0-beta.420.6之前的所有版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/coollabsio/coolify/releases

---

2 Apple macOS Sequoia代码执行漏洞（CVE-2025-43219）
一、漏洞描述：
        
        Apple macOS Sequoia是美国苹果（Apple）公司的一款操作系统。
        Apple macOS Sequoia存在代码执行漏洞，该漏洞是由于打开特制文件时模型I/O组件中的错误造成的。攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Apple macOS Sequoia <15.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.apple.com/en-us/124149

---

3 NVIDIA NeMo 框架代码注入漏洞（CVE-2025-23314）
一、漏洞描述：
        
        适用于所有平台的 NVIDIA NeMo 框架在 NLP 组件中包含一个漏洞，攻击者创建的恶意数据可能会导致代码注入问题。成功利用此漏洞可能会导致代码执行、权限升级、信息泄露和数据篡改。
二、风险等级：
        高
三、影响范围：
        nemo<2.4.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://nvidia.custhelp.com/app/answers/detail/a_id/5689

---

4 Schule未授权访问漏洞（CVE-2025-48373）
一、漏洞描述：
        Schule是开源的学校管理系统软件。
        Schule 1.0.1之前版本存在未授权访问漏洞，该漏洞源于重定向过程中，将客户端上data.role的值认定为可信任数据，攻击者可利用该漏洞操作浏览器中的JavaScript并将data.role设置为任意值，从而在未授权的情况下访问应用的限制区域。
二、风险等级：
        高
三、影响范围：
        Schule Schule < 1.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/schule111/Sch ... ee19d842de867b46b7e

---