清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年06月18日

扫码进群：获取每日最新漏洞和投毒情报推送

1. Cheetah3远程代码执行漏洞触发路径及系统命令劫持

漏洞描述

该漏洞源于Cheetah引擎对`$`语法动态表达式的无限制求值机制，攻击者可通过构造`$__import__('os').popen('cmd')`类恶意负载突破沙箱保护。结合CVSS指标分析显示:网络可达性(Attack Vector=N)配合极低攻击难度(AC=L)，在无需用户身份凭证(NPR)条件下即能达成跨作用域破坏(CHANGED Scope)，最终导致系统级权限丧失(C/H|I/H|A/H)。PoC实测表明此漏洞可用于敏感文件泄露并实施横向渗透，典型示例为`/etc/passwd`内容外泄证明提权可行性。

组件描述

Cheetah3是一款基于Python的高性能模板引擎组件，主要应用于Web开发场景下的动态内容渲染。其核心特性支持灵活变量插值与自定义过滤器扩展，采用AST解析机制实现模板语法转换。作为MVC框架常用组件之一，其设计初衷在于提升文本生成功率但存在过度信任用户输入的风险，尤其在未正确配置沙箱环境下，开放性Python表达式评估接口成为潜在攻击面。

漏洞详情

漏洞威胁性评级: 9.6 (超危)

漏洞类型: RCE (CWE-94)

受影响组件仓库地址: https://github.com/CheetahTemplate3/cheetah3

Star数: 147

漏洞详情链接: https://github.com/CheetahTemplate3/cheetah3/issues/68

1. Ovatheme Events Manager 文件类型限制不当漏洞导致恶意文件上传

漏洞描述

漏洞编号：CVE-2025-32510

发布时间：2025年06月17日

CVSS 评分为 10.0（超危）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-32510

在 Ovatheme Events Manager v1.7.5 及更低版本中，其文件上传模块因缺乏有效后缀名及 MIME 类型校验机制，存在 危险类型文件上传（CWE-434） 安全缺陷。攻击者可绕过系统白名单策略，上传包含 Web Shell 或反向代理配置的恶意脚本文件（如.php/.jsp/.jspx 后缀），最终实现对服务器的持久控制。该漏洞已被证实处于活跃利用状态。

漏洞影响所有使用 1.7.5 及之前版本的 WordPress 插件用户，攻击链无需用户主动交互即可通过后台 API 接口触发。由于默认启用远程文件上传功能且无身份认证环节，攻击者只需构造合法表单参数即可达成目的。

组件描述

Ovatheme Events Manager 是一款 WordPress 活动管理插件，提供事件发布、票务系统和多媒体资源上传等功能。

潜在风险

CVSS 评分达到满值 10.0（攻击路径网络可达、无交互要求）

存在公开 POC 利用片段（GitHub/GitLab 漏洞挖掘社区可见）

成功入侵后可建立隐蔽 WebShell 通道

修复建议

1. 优先迁移至官方声明的修复版本（当前暂未披露具体版本号，需关注供应商公告）

2. 在 wp-content/uploads 目录部署 ModSecurity 规则库，拦截非常规文件扩展名请求

3. 使用 wp-config.php 添加 `define('ALLOW_UNFILTERED_UPLOADS', false)` 强制启用文件过滤

4. 对 wp-admin/admin-ajax.php 接口实施速率限流与 JWT Token 认证

2. NASATheme Flozen 文件上传漏洞导致Web Shell上传

漏洞描述

漏洞编号：CVE-2025-49071

发布时间：2025年06月17日

CVSS 评分为 10.0（超危）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-49071

在 NASATheme Flozen 主题框架中，其文件上传功能因缺乏有效类型校验机制，存在 危险类型文件不限制上传（CWE-434） 安全缺陷。攻击者可绕过过滤规则，通过上传伪装成合法图片或文档的 Web Shell 文件，实现任意代码执行并接管受感染服务器。该漏洞影响所有 Flozen 分支版本，且存在公开利用链痕迹。

漏洞影响范围涵盖采用 Flozen 框架构建的各类动态网站及 CMS 平台，攻击者只需诱骗用户访问嵌入恶意上传逻辑的页面，即可在无需用户主动操作的情况下完成远程代码注入。当前已确认存在自动化扫描工具针对该漏洞发起大规模探测。

组件描述

NASATheme Flozen 是一个基于 PHP 构建的前端开发框架，广泛应用于快速搭建响应式网站界面，提供丰富的可视化配置选项和扩展能力。

潜在风险

攻击门槛极低:无需特殊技能即可复现利用流程

零交互攻击模式:依赖后台自动处理请求过程

横向渗透加速:已观测到配合 RCE 漏洞进行多级穿透

云资产高危暴露:托管服务商资源池易遭连锁污染

修复建议

1.立即停用上传接口:临时禁用所有非必要文件传输功能

2.部署临时 WAF 规则:拦截.php/.jsp/.py 结尾的上传请求

3.强化 MIME 类型校验:同步检查文件头特征与扩展名一致性

4.启用实时日志分析:监测 /tmp /upload 等目录下的异常文件创建事件

5.联系官方补丁通道:订阅安全公告以获取版本修复通知

3. MapSVG 文件上传漏洞允许上传WebShell导致远程代码执行

漏洞描述

漏洞编号：CVE-2025-47559

发布时间：2025年06月17日

CVSS 评分为 9.9（超危）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-47559

RomanCode MapSVG 在 8.5.32 及之前版本中，其文件处理模块因未对上传文件类型进行有效校验，存在 危险类型文件上传（CWE-434） 安全缺陷。攻击者可绕过服务器端验证机制，通过上传 WebShell 类型文件实现对 Web 服务器的持久性控制。该漏洞已被证实存在公开利用证据，攻击者可借助特制的文件上传请求突破防御体系，最终获取系统权限并实施任意命令执行。

漏洞影响所有未升级至安全版本的 MapSVG 用户，包括 WordPress 插件及独立部署场景。攻击者无需身份认证即可通过构造畸形请求触发漏洞，具备极高的横向渗透风险。

组件描述

MapSVG 是一款基于 JavaScript 的地图可视化插件，广泛应用于地理信息展示、交互式图表绘制等前端开发场景。

潜在风险

攻击复杂度低:网络攻击面开放，无需用户交互

持久化能力高:可植入后门维持长期控制

影响范围广:全球活跃安装量超过 10 万次

修复建议

1. 立即升级至官方发布的修复版本（具体版本待定）

2. 在应用层禁用动态文件上传功能或配置白名单策略

3. 部署 WAF 规则拦截.php|.jsp|.aspx 后缀上传请求

4. 审计服务器存储目录的文件创建事件日志

5. 将敏感业务迁移到容器化环境中运行

4. RexTheme WP VR 未限制文件上传漏洞导致Web Shell上传及远程代码执行

漏洞描述

漏洞编号：CVE-2025-47452

发布时间：2025年06月17日

CVSS 评分为 9.9（超危）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-47452

在RexTheme WP VR 8.5.26 及之前版本中，其文件上传功能因未实施有效的类型与路径校验，存在 危险类型文件的不加限制上传（CWE-434） 安全缺陷。攻击者可通过上传任意后缀的Web Shell脚本（如PHP、JSP），突破MIME类型验证机制，最终在目标服务器上建立持久化控制入口。该漏洞已被证实存在公开利用链，攻击者可借此实现远程命令执行、敏感数据泄露或服务中断。

漏洞影响所有部署 WP VR 插件且未更新至修复版本的 WordPress 站点，包括托管型博客平台与企业级CMS系统。攻击者可通过钓鱼邮件、社交工程等方式诱导用户访问嵌入恶意附件的上传接口，利用过程无需用户主动交互且具备隐蔽传播特性。

组件描述

RexTheme WP VR 是一款 WordPress 图像增强类插件，提供全景图像展示、动态渲染等功能，常用于虚拟展厅、在线画廊等多媒体交互场景。

潜在风险

攻击复杂度极低:现有PoC工具已实现自动化上传流程

横向渗透能力高:Web Shell 可作为跳板发起内网探测

业务连续性受损:服务器资源被滥用可能导致DoS攻击

修复建议

1. 即刻停用或删除未注册官方修复计划的 WP VR 插件实例

2. 实施基于白名单的文件扩展名过滤策略（推荐结合.htaccess规则）

3. 在应用层部署WAF规则，拦截含`eval()`、`shell_exec()`等函数的上传载荷

4. 启用WordPress核心的自动更新机制并定期扫描可疑文件签名

5. WP Job Portal SQL注入漏洞导致数据库敏感数据泄露

漏洞描述

漏洞编号：CVE-2025-48274

发布时间：2025年06月17日

CVSS 评分为 9.3（严重）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-48274

在WP Job Portal 2.3.2及之前版本中，其核心功能模块因输入参数过滤缺失，存在 SQL注入（CWE-89） 安全缺陷。攻击者可通过构造恶意HTTP请求向数据库发送经过编码的SQL语句片段，在无需身份验证的情况下实现盲注式数据库探测。该漏洞允许远程攻击者通过延迟响应分析逐步推导数据库结构，最终获取管理员凭证、求职者隐私数据及企业招聘信息。目前已有PoC脚本公开并被证实具备实战价值。

漏洞影响所有未升级至安全补丁的 WordPress 招聘插件用户。攻击者只需通过GET/POST参数注入特制payload即可实现无文件持久化渗透，全程无需用户交互且可绕过基础WAF规则。

组件描述

WP Job Portal 是一款用于 WordPress 平台的企业级职位发布管理插件，集成简历投递、岗位分类检索、后台统计报表等功能模块。

潜在风险

数据泄露面广:包含加密哈希密码、GDPR合规字段

利用链成熟:存在自动化盲注工具与中间人捕获方案

垂直权限提升:可进一步横向移动至Web服务器

修复建议

1. 立即通过WordPress后台更新至开发者公布的修复版本

2. 在web服务器配置层增加基于正则表达式的SQL关键词拦截策略

3. 启用MySQL慢查询日志并设置异常延时阈值告警

4. 对非可信子域名采用独立数据库实例进行物理隔离

6. Mojoomla WPCRM SQL注入漏洞导致数据库泄露

漏洞描述

漏洞编号：CVE-2025-24773

发布时间：2025年06月17日

CVSS 评分为 9.3（严重）

参考链接：https://nvd.nist.gov/vuln/detail/CVE-2025-24773

在Mojoomla WPCRM 3.2.0及之前版本中，其数据库查询模块因对用户输入参数过滤不充分，存在 SQL 注入（CWE-89）安全缺陷。攻击者可利用恶意构造的SQL语句绕过防御逻辑，实现数据库敏感信息窃取、数据篡改甚至服务器控制权获取。该漏洞已被证实存在公开利用证据。

漏洞影响所有未升级至安全版本的 WordPress 插件用户，攻击者只需发送精心设计的 HTTP 请求即可完成入侵，无需用户登录或交互。

组件描述

WPCRM 是专为 WordPress 开发的客户关系管理系统插件，集成 Contact Form 7 与 WooCommerce 功能，提供多渠道客户数据管理能力。

潜在风险

攻击复杂度极低:网络可达即具备利用条件

数据完整性受损:可操纵核心业务数据库

持续性驻留风险:植入后门形成持久化控制

公开工具扩散:存在自动化扫描攻击脚本

修复建议

1. 立即禁用或卸载当前 WPCRM 插件，切换至官方推荐替代方案

2. 应用层实施严格的参数白名单校验策略

3. 配置数据库账号最小权限原则（禁止 DROP/ALTER 等高危操作）

4. 启用 WordPress 安全审计插件监控可疑查询日志

5. 关注官方公告并优先部署后续发布的安全补丁

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中globalloadercontroller组件的1.1.0版本被标记为存在恶意性。该组件被发现与一个与恶意活动相关的域名通信并执行了一个或多个与恶意行为相关的命令。该组件版本的md5值为5a4e365d9a2090e29327c7068a20994b

发布日期

2025年06月18日