TruffleHog、Fade In和BSAFE Crypto-C漏洞分析

作者：Kri Dontje
时间：2025年11月4日 09:26

漏洞汇总

思科Talos漏洞发现与研究团队最近披露了以下漏洞：

这些漏洞均已由相应供应商修复，整个过程遵循思科的第三方漏洞披露政策。要检测这些漏洞的利用，可从Snort.org下载最新规则集，最新漏洞公告始终发布在Talos Intelligence网站上。

发现者：思科Talos的Piotr Bania

Fade In是一款面向编剧的跨平台文本处理软件。

TALOS-2025-2250 (CVE-2025-53855)：GCC Productions Inc. Fade In 4.2.0中XML解析器功能的越界写入漏洞。特制的.fadein文件可导致越界写入。
TALOS-2025-2252 (CVE-2025-53814)：GCC Productions Inc. Fade In 4.2.0中XML解析器功能的释放后使用漏洞。特制的.xml文件可导致基于堆的内存损坏。

发现者：思科ASIG的Adam Reiser

TruffleHog是用于代码仓库和工单系统的检测系统，可发现暴露的敏感信息（如API密钥和密码）。该漏洞在Truffle Security网站的配套文章中有详细描述。

该漏洞是TruffleHog 3.90.2中Git功能的任意代码执行漏洞，编号为TALOS-2025-2243 (CVE-2025-41390)。特制仓库可导致任意代码执行，攻击者可通过提供恶意仓库触发此漏洞。

发现者：Jason Crowder

Dell BSAFE Crypto-C是面向C/C++环境的FIPS-140验证加密开发工具包。在与Jason Crowder合作下，Talos发布了Dell BSAFE Crypto-C模块中的三个漏洞。该产品已停止服务，受影响版本已添加到现有CVE中。

这两种情况下，特制的ASN.1记录都可导致越界读取。攻击者可通过提供畸形ASN.1记录触发这些漏洞。