漏洞摘要:2025年7月28日当周
发布日期:2025年8月4日
文档ID:SB25-216
CISA漏洞公告提供了过去一周记录的新漏洞摘要。在某些情况下,公告中的漏洞可能尚未分配CVSS分数。漏洞基于通用漏洞与暴露(CVE)命名标准,并根据通用漏洞评分系统(CVSS)标准确定的严重性进行组织。高、中、低严重性的划分对应以下分数:
- 高危:CVSS基础分数7.0–10.0
- 中危:CVSS基础分数4.0–6.9
- 低危:CVSS基础分数0.0–3.9
条目可能包含由CISA赞助的组织和努力提供的其他信息。此信息可能包括识别信息、值、定义和相关链接。补丁信息在可用时提供。请注意,公告中的部分信息是从外部开源报告编译而来,并非CISA分析的直接结果。
漏洞严重性分类
高危漏洞
显示148个条目中的148个
| 主要供应商 | 产品 | 描述 | 发布日期 | CVSS分数 | 来源 |
|---|---|---|---|---|---|
| 0x676e67 | vproxy | vproxy是HTTP/HTTPS/SOCKS5代理服务器。在2.3.3及以下版本中,从用户控制的HTTP Proxy-Authorization头提取不受信任的数据并传递给Extension::try_from,流入parse_ttl_extension解析为TTL值。如果攻击者提供零的TTL(例如使用用户名如’configuredUser-ttl-0’),模运算’timestamp % ttl’将导致除零恐慌,使服务器崩溃导致拒绝服务。此问题在2.4.0版本中修复。 | 2025-07-30 | 7.5 | CVE-2025-54581 |
| 1Panel-dev | 1Panel | 1Panel是管理Linux服务器上网站、文件、容器、数据库和LLM的Web界面和MCP服务器。在2.0.5及以下版本中,Core和Agent端点间通信使用的HTTPS协议在证书验证期间存在不完整的证书验证,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,这导致远程代码执行(RCE)。此问题在2.0.6版本中修复。 | 2025-08-01 | 8.1 | CVE-2025-54424 |
| 9001 | copyparty | Copyparty是便携式文件服务器。1.18.9之前版本中,“最近上传”页面的过滤器参数允许任意正则表达式。如果启用此功能(默认启用),攻击者可以制作使服务器死锁的过滤器。此问题在1.18.9版本中修复。 | 2025-08-01 | 7.5 | CVE-2025-54796 |
| Alfasado Inc. | PowerCMS | PowerCMS多个版本的备份和恢复功能存在路径遍历问题。产品管理员可以通过恢复特制的备份文件执行任意代码。 | 2025-07-31 | 7.2 | CVE-2025-46359 |
| alienator88 | Pearcleaner | Pearcleaner是免费、源码可用且公平代码许可的mac应用清理器。PearcleanerHelper是与Pearcleaner应用程序捆绑的特权助手工具。仅在用户批准允许特权操作的系统提示后注册和激活。批准后,助手配置为LaunchDaemon并以root权限运行。在4.4.0至4.5.1版本中,助手注册XPC服务(com.alienator88.Pearcleaner.PearcleanerHelper)并接受来自任何本地进程的未认证连接。它暴露执行任意shell命令的方法。一旦助手被批准并激活,任何本地无特权用户可以将权限提升至root。此问题在4.5.2版本中修复。 | 2025-08-01 | 7.3 | CVE-2025-54595 |
(此处仅展示部分高危漏洞,完整列表请参考原始文档)
中危漏洞
显示157个条目中的157个
| 主要供应商 | 产品 | 描述 | 发布日期 | CVSS分数 | 来源 |
|---|---|---|---|---|---|
| 299Ko | CMS | 在299Ko CMS 2.0.0中发现分类为严重的漏洞。这影响文件管理的组件/admin/filemanager/view的未知部分。操作导致无限制上传。可以远程发起攻击。漏洞利用已公开并可能被使用。供应商早期联系但未回应。 | 2025-07-28 | 4.7 | CVE-2025-8265 |
| 495300897 | wx-shop | 在495300897 wx-shop至de1b66331368695779cfc6e4d11a64caddf8716e中发现分类为有问题的漏洞。此漏洞影响未知代码。操作导致跨站请求伪造。可以远程发起攻击。漏洞利用已公开并可能被使用。 | 2025-08-03 | 4.3 | CVE-2025-8505 |
| 9001 | copyparty | Copyparty是便携式文件服务器。在1.18.7及以下版本中,当访问最近上传页面/?ru时,用户可以使用顶部的输入字段过滤结果。此字段将过滤器参数附加到URL,其值直接反映到<script>块中没有适当转义,允许反射型跨站脚本(XSS),并可针对认证和未认证用户利用。此问题在1.18.7版本中修复。 |
2025-07-31 | 6.3 | CVE-2025-54589 |
(此处仅展示部分中危漏洞,完整列表请参考原始文档)
低危漏洞
显示32个条目中的32个
| 主要供应商 | 产品 | 描述 | 发布日期 | CVSS分数 | 来源 |
|---|---|---|---|---|---|
| 495300897 | wx-shop | 在495300897 wx-shop至de1b66331368695779cfc6e4d11a64caddf8716e中发现分类为有问题的漏洞。此问题影响文件/user/editUI的某些未知处理。操作导致跨站脚本。可以远程发起攻击。漏洞利用已公开并可能被使用。 | 2025-08-03 | 3.5 | CVE-2025-8506 |
| Campcodes | Online Hotel Reservation System | 在Campcodes Online Hotel Reservation System 1.0中发现分类为有问题的漏洞。此漏洞影响文件/admin/add_query_account.php的未知代码。对参数Name的操作导致跨站脚本。可以远程发起攻击。漏洞利用已公开并可能被使用。 | 2025-07-31 | 3.5 | CVE-2025-8380 |
(此处仅展示部分低危漏洞,完整列表请参考原始文档)
严重性尚未分配
显示337个条目中的337个
| 主要供应商 | 产品 | 描述 | 发布日期 | CVSS分数 | 来源 |
|---|---|---|---|---|---|
| A10 Networks | AX Series Loadbalancer | A10 Networks AX负载均衡器版本2.6.1-GR1-P5、2.7.0及更早版本存在路径遍历漏洞。漏洞存在于/xml/downloads端点中filename参数的处理,未能正确清理用户输入。未经认证的攻击者可以通过发送包含目录遍历序列的特制HTTP请求来读取预期目录外的任意文件。 | 2025-07-31 | 尚未计算 | CVE-2014-125125 |
| Absolute Security | Secure Access | CVE-2025-49082是Absolute Secure Access 13.56之前版本管理控制台中的漏洞。具有管理控制台访问权限且被分配了某些权限集的攻击者可以绕过这些权限不当读取其他设置。 | 2025-07-30 | 尚未计算 | CVE-2025-49082 |
(此处仅展示部分未分配严重性漏洞,完整列表请参考原始文档)
总结
本周漏洞报告涵盖了广泛的技术领域,从Web应用程序到操作系统组件,从网络设备到云服务。关键发现包括:
- 高危漏洞主要集中在:远程代码执行(RCE)、权限提升、SQL注入和身份验证绕过
- 受影响的技术栈:包括WordPress插件、网络设备固件、数据库系统、容器平台等
- 修复建议:用户应及时应用相关补丁,加强输入验证,实施最小权限原则
组织应优先处理CVSS评分7.0及以上的漏洞,特别是那些可能被远程利用且不需要用户交互的漏洞。定期更新软件、实施网络分段和持续监控是降低这些漏洞风险的关键措施。