漏洞风险提示（20250829）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CrushFTP 身份验证绕过漏洞（CVE-2025-54309）
一、漏洞描述：
       
        CrushFTP 是由 CrushFTP LLC 开发的文件传输服务器软件。CrushFTP 的主要用途是提供安全、可靠的文件传输服务。
        该漏洞产生于CrushFTP在处理AS2证书时存在缺陷，未正确实施DMZ代理功能，导致远程攻击者可以通过条件竞争获得管理员访问权限。
二、风险等级：
        高
三、影响范围：
        10.0.0 <= CrushFTP < 10.8.5
        11.0.0 <= CrushFTP < 11.3.4_23
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.crushftp.com/crush11 ... =CompromiseJuly2025

---

2 CNCF Helm代码注入漏洞（CVE-2025-53547）
一、漏洞描述：
       
        Helm是一个用于在Kubernetes集群上安装和更新软件包的工具。
        Helm 3.18.4之前版本存在代码注入漏洞，该漏洞源于Helm将Helm将来自Chart.yaml的包含恶意命令的内容写入了Chart.lock文件，攻击者可利用该漏洞执行代码。
二、风险等级：
        高
三、影响范围：
        CNCF Helm < 3.18.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/helm/helm/releases

---

3 Adobe ColdFusion XML注入漏洞（CVE-2025-49538）
一、漏洞描述：
       
        Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台，包括集成开发环境和脚本语言。
        Adobe ColdFusion 2025.2及之前版本、2023.14及之前版本和2021.20及之前版本存在XML注入漏洞，攻击者可利用该漏洞注入恶意XML或XPath请求，从而访问未授权文件或拒绝服务。
二、风险等级：
        高
三、影响范围：
        Adobe ColdFusion <= 2023.14
        Adobe ColdFusion <= 2021.20
        Adobe ColdFusion <=  2025.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security ... sion/apsb25-69.html

---

4 libssh越界读取漏洞（CVE-2025-5318）
一、漏洞描述：
       
        libssh是libssh组织的一个用于访问SSH服务的C语言开发包，它能够执行远程命令、文件传输，同时为远程的程序提供安全的传输通道。
        libssh存在越界读取漏洞，该漏洞源于比较检查错误，攻击者可利用该漏洞读取非预期内存区域，从而泄露敏感信息或使服务异常。
二、风险等级：
        高
三、影响范围：
        libssh libssh
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.libssh.org/

---