TruffleHog、Fade In和BSAFE加密漏洞漏洞汇总

Cisco Talos漏洞发现与研究团队最近披露了Dell BSAFE中的三个漏洞、Fade In编剧软件中的两个漏洞以及Trufflehog中的一个漏洞。本博文中提到的漏洞已由各自供应商修补，均符合Cisco的第三方漏洞披露政策。

要检测这些漏洞利用的Snort覆盖，请从Snort.org下载最新规则集，我们的最新漏洞公告始终发布在Talos Intelligence网站上。

Fade In越界写入漏洞

由Cisco Talos的Piotr Bania发现。

Fade In是一款面向编剧的跨平台文本处理软件。

TALOS-2025-2250 (CVE-2025-53855) 是GCC Productions Inc. Fade In 4.2.0中XML解析器功能的一个越界写入漏洞。特制的.fadein文件可导致越界写入。

TALOS-2025-2252 (CVE-2025-53814) 是GCC Productions Inc. Fade In 4.2.0中XML解析器功能的一个释放后使用漏洞。特制的.xml文件可导致基于堆的内存损坏。

由Cisco ASIG的Adam Reiser发现。

TruffleHog是一个用于代码仓库和工单系统的检测系统，用于发现暴露的敏感信息，如API密钥和密码。该漏洞在Truffle Security网站的配套文章中有描述。

该漏洞是TruffleHog 3.90.2中Git功能的一个任意代码执行漏洞，TALOS-2025-2243 (CVE-2025-41390)。特制的仓库可导致任意代码执行。攻击者可以提供恶意仓库来触发此漏洞。

由Jason Crowder发现。

Dell BSAFE Crypto-C是用于C/C++环境的FIPS-140验证加密开发工具包。在与Jason Crowder合作下，Talos发布了Dell BSAFE Crypto-C模块中的三个漏洞。该产品已停止服务；易受攻击版本已添加到现有CVE中。

TALOS-2025-2140 (CVE-2019-3728) 是一个整数溢出漏洞，TALOS-2025-2141 (CVE-2019-3728) 是一个整数下溢漏洞。在这两种情况下，特制的ASN.1记录可导致越界读取。攻击者可以提供格式错误的ASN.1记录来触发此漏洞。

TALOS-2025-2142 (CVE-2019-3728) 是一个栈溢出漏洞。特制的ASN.1记录可导致拒绝服务。