设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20251209)
返回列表 发新帖

漏洞风险提示(20251209)

[复制链接]
发表于 2025-12-9 09:42 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache Tika XML外部实体注入漏洞(CVE-2025-66516)
一、漏洞描述:
         屏幕截图 2025-12-09 092035.jpg
        Apache Tika 是一个由 Apache 软件基金会维护的开源内容检测与分析工具包。
        该漏洞源于 Apache Tika 在处理 PDF 文件中的 XFA 内容时,未对外部实体进行充分限制,导致攻击者可以通过构造恶意的 XML 文件触发 XXE 攻击。成功利用此漏洞可导致服务器上的敏感信息(如配置文件、密码文件、源代码等)泄露、执行拒绝服务攻击,甚至在内网环境中进行端口扫描。
二、风险等级:
        高
三、影响范围:
        1.13 ≤ Apache Tika core (org.apache.tika:tika-core) ≤ 3.2.1
        1.13 ≤ Apache Tika parsers (org.apache.tika:tika-parsers) ≤ 2.0
        2.0.0 ≤ Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) ≤3.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://tika.apache.org/download.html


2 Windows Vim 路径劫持漏洞导致远程代码执行(CVE-2025-66476)
一、漏洞描述:
         屏幕截图 2025-12-09 093645.jpg
        Vim是一款强大的文本编辑器,广泛用于程序开发和系统管理。
        Vim在执行外部命令时(如:grep使用Windows的findstr.exe)会优先搜索当前工作目录,而不是系统路径。这使得攻击者能够在项目目录中放置伪装成合法可执行文件的恶意文件(例如findstr.exe)。当用户在Vim中执行诸如:grep或其他外部命令时,Vim可能无意中执行这些恶意文件,导致远程命令执行。该漏洞不需要提升权限,攻击者可以利用该漏洞在用户系统上执行任意代码,获取与Vim用户相同的权限。
二、风险等级:
        高
三、影响范围:
        Vim(Windows) v9.1.1947之前版本
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.vim.org/download.php/


3 React Server Components 远程代码执行漏洞(CVE-2025-55182)
一、漏洞描述:
         屏幕截图 2025-12-09 092930.jpg
        React是一个用于构建用户界面的JavaScript库,由Facebook开发和维护。
        该漏洞源于React在处理客户端发送的请求时,反序列化机制存在缺陷。React将客户端请求转为HTTP请求并转发至服务器,之后在服务器端将HTTP请求反序列化为函数调用。攻击者可通过构造恶意HTTP请求,利用该反序列化缺陷,在服务器端执行任意代码,从而触发远程代码执行风险。受影响的组件包括react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack等。该漏洞无需认证即可被攻击者触发,可能对系统安全构成严重威胁。
二、风险等级:
        高
三、影响范围:
        react-server-dom-{webpack,parcel,turbopack} = 19.0 / 19.1.0 / 19.1.1 / 19.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://react.dev/blog/2025/12/0 ... -server-components/


4 XWiki Details Summary宏远程代码执行漏洞(CVE-2025-65036)
一、漏洞描述:
         屏幕截图 2025-12-09 093242.jpg
        XWiki是一个开源的企业级知识管理和协作平台,允许用户创建、管理和共享内容。
        该漏洞源于Confluence的Details Summary宏的实现问题,宏在执行Velocity脚本时未进行适当的权限检查,导致未授权的用户能够通过构造特定页面内容,触发远程代码执行。攻击者可以通过创建一个包含Groovy代码的异步宏的详情宏页面,随后由管理员将该页面通过Details Summary宏包含到其他页面中,从而执行恶意代码。该漏洞可导致攻击者在没有编程权限的情况下,通过构造特定页面内容进行恶意操作,从而在系统中执行未经授权的代码,进而危害系统安全。
二、风险等级:
        高
三、影响范围:
        xwiki-pro-macros ≤ 1.27.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/xwikisas/xwiki-pro-macros/tags/
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2026-6-27 10:44

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表