漏洞聚焦:TruffleHog、Fade In 与 BSAFE Crypto-C 的安全漏洞剖析

本文详细披露了思科 Talos 团队发现并已由厂商修复的三个软件中的多个安全漏洞,涉及 TruffleHog 代码检测工具的任意代码执行、Fade In 编剧软件的XML解析器内存损坏,以及 Dell BSAFE 加密库的整数与栈溢出问题。

思科 Talos 漏洞研究与披露

思科 Talos 的漏洞发现与研究团队近期披露了多个安全漏洞,涉及 Dell BSAFE 加密开发套件、Fade In 编剧软件以及 Trufflehog 敏感信息检测工具。相关漏洞均已由各自供应商修补,整个过程遵循思科的第三方漏洞披露政策。

若需能够检测这些漏洞利用的 Snort 覆盖规则,请从 Snort.org 下载最新的规则集。我们最新的漏洞报告始终发布在 Talos Intelligence 网站上。

Fade In 编剧软件越界写入与释放后使用漏洞

发现者: Cisco Talos 的 Piotr Bania。

Fade In 是一款面向编剧的跨平台文本处理软件。

  • TALOS-2025-2250 (CVE-2025-53855): 这是 GCC Productions Inc. Fade In 4.2.0 版本中 XML 解析器功能的一个越界写入漏洞。一个特制的 .fadein 文件可导致越界写入。
  • TALOS-2025-2252 (CVE-2025-53814): 这是 GCC Productions Inc. Fade In 4.2.0 版本中 XML 解析器功能的一个释放后使用漏洞。一个特制的 .xml 文件可导致基于堆的内存损坏。

TruffleHog 任意代码执行漏洞

发现者: Cisco ASIG 的 Adam Reiser。

TruffleHog 是一个用于代码仓库和工单系统的检测系统,用于发现暴露的敏感信息,如 API 密钥和密码。此漏洞在 Truffle Security 网站的伴随文章中有所描述。该漏洞是 TruffleHog 3.90.2 版本中 Git 功能的一个任意代码执行漏洞,编号为 TALOS-2025-2243 (CVE-2025-41390)。一个特制的代码仓库可导致任意代码执行。攻击者可以通过提供恶意仓库来触发此漏洞。

Dell BSAFE 整数溢出、下溢和栈溢出漏洞

发现者: Jason Crowder。

Dell BSAFE Crypto-C 是一个经过 FIPS-140 认证、用于 C/C++ 环境的加密开发工具包。在与 Jason Crowder 合作下,Talos 发布了 Dell BSAFE Crypto-C 模块中的三个漏洞。该产品已停止服务;受影响的版本已被添加到现有的 CVE 中。

  • TALOS-2025-2140 (CVE-2019-3728): 这是一个整数溢出漏洞,而 TALOS-2025-2141 (CVE-2019-3728) 是一个整数下溢漏洞。在这两种情况下,一个特制的 ASN.1 记录可导致越界读取。攻击者可以提供格式错误的 ASN.1 记录来触发此漏洞。
  • TALOS-2025-2142 (CVE-2019-3728): 这是一个栈溢出漏洞。一个特制的 ASN.1 记录可导致拒绝服务。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次