murphysec的博客

让每一个开发者更安全的使用开源代码

  • 博客(278)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 NPM组件 aiohappyeyeballs 等窃取主机敏感信息

NPM组件aiohappyeyeballs等存在高危投毒漏洞,安装受影响版本(如aiohappyeyeballs [0.1.4, 0.2.5]、[email protected]等)会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,可能针对开发环境及网站管理员主机。建议立即排查依赖,移除恶意包,全面检查系统安全(如异常网络连接、敏感凭证),并加强依赖管理(仅用官方源、限制版本范围)。

2025-08-03 22:06:58 378

原创 NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息

多个NPM组件(如@usaa-grp-payments-web-experience/bk-acknowledge-module等)被投毒,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响pixzen、amdocs-auth-package、arkadiko-dao等数十个组件特定版本,利用成本低。建议立即排查并卸载受影响包,删除依赖重装,扫描系统异常,加强依赖管理(如限制版本范围、使用官方源)。

2025-08-02 22:04:56 370

原创 NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息

【高危】NPM组件投毒漏洞(MPS-qcto-16v8)影响@coolblue-development/next-recently-viewed等多个包,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括[email protected][email protected]等,无修复版本。利用成本低,建议立即卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。

2025-08-01 15:52:14 511

原创 NPM组件 @azet/api 等窃取主机敏感信息

NPM组件@azet/api等存在高危投毒漏洞,安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及@twork-data-services/*、@moonpig/web-core-*、@azl-react-components/*等多个组件,受影响版本多为[0.99.0, 99.99.0]、172.0.0等。漏洞利用成本低,建议立即排查卸载恶意包,删除node_modules后重装依赖,全面检查系统安全并重置敏感凭证,加强依赖管理规范。

2025-07-31 12:37:32 608

原创 Google Chrome <140.0.7297.0 MediaStreamTrackImpl UAF漏洞

CVE-2025-8292是Google Chrome/Chromium的高危Use-After-Free漏洞,影响版本<140.0.7297.0。漏洞因MediaStreamTrackImpl组件销毁前未清除对音频接收器(SpeechRecognitionMediaStreamAudioSink)的引用所致。修复通过引入Dispose()预清理方法,在对象销毁前主动移除关联引用,消除悬垂指针。建议用户升级至140.0.7297.0及以上版本,临时可禁用语音识别或限制麦克风权限缓解风险。

2025-07-31 11:26:32 922

原创 NPM组件 @0xme5war/apicli 等窃取主机敏感信息

【高危】多款NPM组件存在投毒风险,包括@0xme5war/apicli [1.0.0,2.0.0]、react-native-gainsight-px [1.5.2,1.12.5]等20余款。安装后会窃取主机名、用户名、工作目录、IP等敏感信息,发送至攻击者电报地址(botToken=7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IVDE,chatId=6567865682)。利用成本低,建议立即排查卸载受影响包,删除node_modules及package-lock

2025-07-30 11:34:09 522

原创 NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息

【高危】多款NPM组件(如@ai0x1337/budoux-extension、@cwlib/core等)被投毒,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。影响超20个包,含伪装成熟组件(如Sentry工具包)、内部CLI工具等,利用成本低。建议立即排查并卸载受影响包,删除node_modules重装依赖,扫描系统异常,重置敏感凭证,加强依赖管理(限版本范围、用官方源、定期审计)。

2025-07-29 10:10:34 921

原创 Google Chrome V8< 13.7.120 沙箱绕过漏洞

Google Chrome V8<13.7.120沙箱绕过漏洞(MPS-id8s-k96g),影响V8<13.7.120、Chrome/Chromium<137.0.7137.0。因JsonParser::MakeString处理长度1的转义字符串时存在二次获取问题,致DecodeString基于过时检查结果写入2字节栈缓冲区,引发栈溢出。修复通过重构DecodeString,引入长度计数器并添加SBXCHECK_GE(length,2)校验防溢出,建议升级至V8 13.7.120+或Chrome 137.

2025-07-28 15:13:02 739

原创 NPM组件 @ctra/utils 等窃取主机敏感信息

【高危】NPM组件投毒漏洞,涉及@ctra/utils等多个包(如openai-fm、airbnb-prod等),安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。受影响版本无修复版本,利用成本低。建议立即排查并卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(限版本范围、用官方源、定期审计)。

2025-07-26 22:47:33 621

原创 Google Chrome V8< 14.0.221 类型混淆漏洞

CVE-2025-8011是Google Chrome V8引擎的高危类型混淆漏洞,因Maglev编译器内联逻辑缺少边界检查,内联函数过多致InliningId整数溢出,损坏SourcePosition元数据,反优化时引发类型混淆。影响V8<14.0.221、Chrome/Chromium<138.0.7204.168。修复需升级至V8 14.0.221或Chrome 138.0.7204.168及以上,通过增加内联数量上限检查防止溢出。

2025-07-23 15:40:47 973

原创 NPM组件 @lain-test-org/test-package 等窃取主机敏感信息

【高危】多个NPM组件(如@lain-test-org/test-package等)存在投毒风险,安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围包括react-type-next、pmcrypto、fxa-setting等30余个组件,部分版本跨度大(如pmcrypto [0.1.0, 99.99.99])。漏洞利用成本低、可能性中,强烈建议立即排查移除恶意包,全面检查系统安全,加强依赖管理。

2025-07-22 11:07:40 886

原创 NPM组件 function-flag 等内嵌恶意木马

【高危】NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本存在恶意投毒。用户安装后会下载执行svchost.exe木马,导致攻击者窃取主机信息并实施远控。漏洞利用成本低、可能性中,影响使用相关组件的Node.js项目。建议立即排查移除受影响包,扫描系统异常进程及网络连接,重置敏感凭证,并加强依赖管理,仅使用官方源及成熟组件。

2025-07-20 01:04:28 390

原创 NPM组件 function-flag 等内嵌恶意木马

NPM组件function-flag(2.3.4-4.0.0)、function-string(3.0.0)等版本被植入恶意木马,用户安装后会下载执行svchost.exe,导致攻击者窃取主机信息并实施远控。该漏洞高危,利用成本低、可能性中。处置建议:立即卸载受影响包,删除node_modules及package-lock.json后重装依赖;全面扫描系统排查异常进程与网络连接,重置敏感凭证;加强依赖管理,仅使用官方源,定期审计依赖。

2025-07-19 00:41:59 494

原创 PyPI仓库 crto0 组件内嵌信息窃取木马

PyPI仓库crto组件1.0.7版本内嵌信息窃取木马,用户安装后会从攻击者可控Github地址下载执行恶意程序,窃取Windows系统信息(用户信息、截图、摄像头、硬盘等)、Discord账户、浏览器数据(密码、Cookie、信用卡信息等)及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低,建议立即移除受影响包,全面检查系统安全,加强依赖管理,仅从官方源安装组件。

2025-07-18 01:06:38 519

原创 WPS文档中心及文档中台远程命令执行漏洞

WPS文档中心(7.0.2306b至7.0.2405b前版本)及文档中台(6.0.2205至7.1.2405前版本)的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥,进而修改K8s配置添加路由映射,通过特定接口执行命令。利用可能性高且有POC,建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本,同时阻断相关接口未授权访问并轮换密钥。

2025-07-18 01:04:33 1356

原创 PyPI仓库 iscc-flag 组件内嵌恶意木马

【高危】PyPI仓库iscc-flag(0.0.1版)及anku2-rce(0.0.1-0.0.2版)组件被植入恶意代码,安装后下载run.bat木马,窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中,建议立即排查移除受影响包,扫描系统异常进程与网络连接,重置敏感凭证,加强依赖管理,仅从官方源安装组件并定期审计依赖。

2025-07-17 01:16:06 282

原创 Node.js Windows下路径遍历漏洞

Node.js Windows路径遍历高危漏洞(CVE-2025-27210)存在于Windows系统下,攻击者可利用Windows保留设备名(如AUX、CON、PRN等)绕过path.join的路径遍历保护,通过构造特殊路径(如..\\..\\AUX\\..\\..\\target.txt)访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理,建议升级至20.19.4、22.17.1或24.4.1及以上

2025-07-17 00:41:48 839

原创 NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

【高危】多个NPM组件(如@ivy-shared-components/iconslibrary、ado-codespaces-auth等)存在投毒风险,安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及多个特定版本包,利用成本低。建议立即移除受影响包,全面排查系统安全(如异常进程、敏感凭证),并加强依赖管理(限制版本范围、使用安全工具监控)。

2025-07-16 00:36:09 941

原创 Google Chrome V8< 13.6.86 类型混淆漏洞

Google Chrome V8引擎(<13.6.86)及Chrome浏览器(<136.0.7075.0)存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入,覆盖数组长度获取任意地址读写能力,最终实现RCE。修复版本移除LoopPeelingPhase及相关标志,建议升级V8至13.6.86+、Chrome至136.0.7075.0+。

2025-07-16 00:18:01 865

原创 Google Chrome V8< 13.6.86 类型混淆漏洞

Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞,因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用,重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象,在扁平化操作时触发越界写入,覆盖数组长度实现任意地址读写,最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本,移除LoopPeelingPhase及相关标志。

2025-07-15 01:16:07 415

原创 契约锁电子签章系统 pdfverifier 远程代码执行漏洞

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件(ZIP格式)时未校验文件名路径,攻击者可构造含../的恶意压缩包,通过路径穿越写入WebShell。2025年5月6日发布的1.3.2补丁添加路径校验机制,拦截路径穿越符号。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0],利用成本低、可能性极高,存在POC。建议升级至1.3.2及以上补丁版本修复。

2025-07-14 01:17:18 676

原创 NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

NPM组件投毒漏洞(MPS-8htd-4bis)影响@blocks-shared/atom-panel等超70个包,安装后窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本含nbastatsleftnav [1.0.0,99.0.1]、casino2025 1.1.20等,多数无修复版本。利用成本低,建议立即排查卸载恶意包,删除node_modules及package-lock.json后重装依赖,扫描系统异常并重置敏感凭证,加强依赖管理。

2025-07-13 01:28:39 338

原创 契约锁电子签章系统 pdfverifier 远程代码执行漏洞

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件(ZIP格式)时未校验文件名路径合法性,攻击者可构造含../的恶意压缩包条目,解压时写入服务器任意路径,实现WebShell上传与远程代码执行。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]。2025年5月6日发布的1.3.2补丁引入路径校验机制,拦截含../的文件条目。漏洞利用成本低、可能性极高,存在POC,建议用户立即升级至1.3.2及以上安全补丁。

2025-07-13 00:54:28 499

原创 NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

NPM组件@blocks-shared/atom-panel等被投毒,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件,受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中,属高危风险。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,同时全面检查系统安全,重置敏感凭证。

2025-07-12 00:49:49 513

原创 NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息

NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞,安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本,利用成本低,可能性中。建议立即排查并卸载受影响包,删除依赖文件后重装,全面检查系统安全,加强依赖管理规范。

2025-07-11 00:42:33 515

原创 Chrome拓展 Video Speed Controller 等内嵌恶意后门

【高危】多款Chrome拓展(含Video Speed Controller相关)被植入恶意后门,可窃取用户浏览链接,与攻击者C2服务器建立持久连接,并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本(如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等),利用成本低,风险等级高。建议立即排查并移除受影响拓展,全面检查系统安全。

2025-07-10 01:08:16 882

原创 泛微e-cology < 10.76 前台SQL注入漏洞

泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis,再经/api/ec/dev/table/counts接口执行,导致未授权SQL注入,可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76),建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。

2025-07-10 01:05:54 769

原创 NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息

NPM组件n8n-nodes-zalo-tools-vts(0.0.1-0.0.6版本)及ass-frontend 1.0.0存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低,可能性中,属高危。建议立即排查并卸载受影响包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。

2025-07-08 00:21:31 311

原创 Redis hyperloglog 越界写入导致远程代码执行漏洞

CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度,导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本,利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作,建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+,并限制服务访问来源。

2025-07-08 00:19:22 3454

原创 NPM组件包 json-cookie-csv 等窃取主机敏感信息

NPM组件包json-cookie-csv等存在高危投毒漏洞,安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本,目前无最小修复版本。利用成本低、可能性中,强烈建议立即排查并移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,仅使用官方源并限制版本范围。

2025-07-07 00:28:21 516

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology remarkOperate接口存在高危远程命令执行漏洞,源于/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未经验证直接拼接SQL语句,导致SQL注入。攻击者可利用该漏洞执行任意SQL,甚至通过写文件实现远程命令执行。影响范围覆盖全版本,建议立即对该接口实施访问控制、WAF拦截SQL注入特征,同时升级至官方修复版本并采用参数化查询修复根本问题。

2025-07-07 00:10:15 373

原创 NPM组件 querypilot 等窃取主机敏感信息

【高危】NPM组件querypilot等存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响组件包括@vapc-ui/font-icon、@indigo-mobile/material、querypilot等30余个,版本多为[1.0.0, 99.99.99]等大范围。利用成本低,可能性中。建议立即排查卸载受影响包,删除node_modules后重装依赖,全面检查系统安全,加强依赖管理(如限制版本范围、使用官方源)。

2025-07-06 01:42:05 625

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未校验直接拼接SQL,导致SQL注入。攻击者可执行任意SQL,甚至写文件实现远程命令执行,影响所有版本。建议立即限制接口访问、配置WAF过滤、验证参数输入,并通过官方渠道获取补丁修复。

2025-07-06 01:07:57 374

原创 NPM组件 nodemantle002 等窃取主机敏感信息

高危NPM组件投毒漏洞(MPS-qrk7-ayms)影响nodemantle002、lz-evm-sdk-v1等多个包,安装后窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括[email protected][email protected]等。利用成本低,建议立即排查并卸载恶意包,删除node_modules后重装依赖,加强依赖管理(限制版本范围、使用官方源),用安全工具监控风险。

2025-07-05 01:03:16 574

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验,直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL,甚至通过写文件实现远程命令执行。所有版本均受影响,建议通过官方安全补丁修复,或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。

2025-07-05 00:45:04 646

原创 NPM组件 alan-baileys 等窃取主机敏感信息

NPM多个组件(如alan-baileys、logflow-json等)被投毒,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本涵盖[email protected][email protected]等20余个包,利用成本低。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统异常,加强依赖管理(如限制版本范围、使用官方源)。

2025-07-03 01:37:30 832

原创 深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】

深信服运维安全管理系统存在严重远程命令执行漏洞(MPS-jnpc-w4hi),攻击者可绕过登录限制,通过未授权访问netConfig/set_port接口实现远程命令执行,获取系统权限。该漏洞POC已公开,利用成本低、可能性极高。影响版本为3.0.11_20231222之前的所有版本,最小修复版本为3.0.11_20231222。建议立即升级系统,同时可采取限制访问IP、防火墙拦截含接口关键字请求等应急措施。

2025-07-03 01:19:24 941

原创 汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞

汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景,受影响版本广泛。漏洞利用成本低、可能性极高且有POC,攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤,根本修复需升级至修复版本并添加认证与参数校验。

2025-07-02 00:57:23 873

原创 NPM组件 betsson 等窃取主机敏感信息

NPM仓库多个组件(如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等)被植入恶意代码,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(使用官方源、限制版本范围、定期审计)。

2025-07-01 00:58:34 1004

原创 Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

DataEase <2.10.11版本存在高危PostgreSQL数据源JDBC连接参数绕过漏洞(CVE-2025-53005)。因仅对JDBC连接字符串中socketFactory/socketFactoryArg参数黑名单限制,攻击者可通过sslfactory、sslfactoryarg等未限制参数绕过。影响io.dataease:core-backend及dataease组件,建议升级至2.10.11及以上版本,修复通过新增sslfactory、sslhostnameverifier等参数黑名单实现。

2025-07-01 00:24:34 527 1

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除