免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Akamai CloudTest soap XXE漏洞(CVE-2025-49493)
一、漏洞描述:
Akamai CloudTest是一个云性能测试平台,可以在云基础设施上提供自动化和智能的实时测试。
Akamai CloudTest soap XXE漏洞,攻击者可在无需登录的情况下触发XXE,获取相关敏感信息。
二、风险等级:
高
三、影响范围:
Akamai CloudTest 60 2025.06.02 (12988)之前的版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.akamai.com/products/cloudtest
2 Llama-Factory vhead_file 代码执行漏洞(CVE-2025-53002)
一、漏洞描述:
LLaMA-Factory是一个针对大型语言模型的调优库。
LLaMA-Factory训练过程时由于 `vhead_file` 参数在加载模型时没有增加 weights_only=True 选项,使得恶意攻击者可以通过 WebUI 界面传递“Checkpoint路径”参数,从而在主机系统上执行任意的恶意代码。
二、风险等级:
高
三、影响范围:
LLaMA-Factory ≤ 0.9.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/hiyouga/LLaMA ... A3%85-llama-factory
3 SUSE 15 PAM 本地提权漏洞(CVE-2025-6018)
一、漏洞描述:
PAM是Linux系统中一种模块化认证框架,通过提供统一的API接口和动态链接库。
SUSE 15 PAM模块中存在提权漏洞。在攻击者已经获取服务器权限的前提下,可利用该漏洞进一步的提升至 allow_active 权限。
二、风险等级:
高
三、影响范围:
opensuse_Leap_15.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.suse.com/security/cve/CVE-2025-6018.html
4 Apache Kafka Client 任意文件读取与SSRF 漏洞(CVE-2025-27817)
一、漏洞描述:
Apache Kafka 是一个开源的分布式事件流处理平台。
攻击者在可以控制Apache Kafka Connect 客户端的情况下,可通过SASL JAAS 配置和基于 SASL 的安全协议在其上创建或修改连接器相关配置,利用部分参数例如 sasl.oauthbearer.token.endpoint.url 和 sasl.oauthbearer.jwks.endpoint.url,造成任意文件读取与SSRF漏洞。
二、风险等级:
高
三、影响范围:
apache kafka 3.1.0到3.9.1(不包含)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kafka.apache.org/
|
发表于 2025-11-7 09:43
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡