CVE-2025-14674: aizuda snail-job 中的注入漏洞

严重性：中等 类型：漏洞

漏洞描述

在 aizuda snail-job 1.6.0 及更早版本中发现一个漏洞。受此漏洞影响的是文件 snail-job-common/snail-job-common-core/src/main/java/com/aizuda/snailjob/common/core/expression/strategy/QLExpressEngine.java 中的函数 QLExpressEngine.doEval。不当操作导致注入攻击。攻击可以远程发起。升级到 1.7.0-beta1 版本可解决此问题。补丁标识为 978f316c38b3d68bb74d2489b5e5f721f6675e86。受影响组件应进行升级。

技术分析摘要

CVE-2025-14674 是在 aizuda snail-job 软件中发现的一个注入漏洞，具体位于 snail-job-common-core 模块中的 QLExpressEngine.doEval 函数。该函数用于评估表达式，由于输入处理不当，允许攻击者远程注入恶意代码。该漏洞影响所有直至 1.6.0 的版本，且不需要身份验证或用户交互，使其可通过网络远程利用。注入漏洞通常允许攻击者执行任意代码或命令、操纵数据或中断服务可用性。该漏洞已在版本 1.7.0-beta1 中修复，补丁由提交 978f316c38b3d68bb74d2489b5e5f721f6675e86 标识。CVSS 4.0 向量表明复杂度低、无需特权且无需用户交互，但对机密性、完整性和可用性的影响有限。目前尚未有已知的在野利用，但如果被利用，存在远程代码执行或数据操纵的可能性。使用 snail-job 进行作业调度或自动化的组织应将此视为优先更新以防止利用。

潜在影响（对欧洲组织）

对于欧洲组织而言，此漏洞主要对使用 aizuda snail-job 进行任务自动化、作业调度或工作流编排的组织构成中等风险。利用该漏洞可能允许攻击者远程注入恶意表达式，可能导致未经授权的代码执行、数据损坏或服务中断。这可能影响业务连续性、数据完整性和机密性，特别是在严重依赖自动化流程的行业，如制造业、金融业和 IT 服务。缺乏所需的身份验证增加了外部攻击者利用的风险。虽然目前没有已知的主动利用，但此漏洞存在于关键自动化基础设施中，可能被用于在针对性攻击中进行横向移动或持久化。该漏洞的有限范围和补丁的可用性在一定程度上缓解了影响，但组织必须迅速采取行动以避免运营和声誉损害。

缓解建议

欧洲组织应立即评估其对 aizuda snail-job 的使用情况，并识别任何运行 1.0 至 1.6.0 版本的部署。主要的缓解措施是升级到 1.7.0-beta1 或更高版本，其中包含官方补丁。在应用升级之前，组织应将 snail-job 服务的网络访问限制在受信任的内部网络，围绕 QLExpressEngine 的使用实施严格的输入验证和监控，并部署入侵检测系统以识别异常的表达式评估。此外，组织应审查与表达式评估相关的可疑活动日志，并考虑隔离受影响系统以限制潜在的横向移动。定期更新软件依赖项并及时应用安全补丁至关重要。安全团队还应教育开发人员和操作员有关表达式评估引擎中注入漏洞的风险，并强制实施安全编码实践以防止类似问题。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利

技术详情

• 数据版本: 5.2
• 分配者简称: VulDB
• 保留日期: 2025-12-13T16:42:54.308Z
• Cvss 版本: 4.0
• 状态: 已发布
• 威胁 ID: 693effcdb0f1e1d53011dae4
• 添加到数据库: 2025年12月14日，下午6:19:57
• 最后丰富时间: 2025年12月14日，下午6:35:17
• 最后更新时间: 2025年12月15日，下午3:02:39