CVE-2025-14674: aizuda snail-job 注入漏洞

严重性： 中危 类型： 漏洞

CVE-2025-14674

CVE-2025-14674 是 aizuda snail-job 产品中的一个中危注入漏洞，影响 1.6.0 及之前的所有版本。该漏洞存在于 QLExpressEngine.doEval 函数中，允许远程攻击者在无需身份验证或用户交互的情况下执行注入攻击。利用此漏洞可能导致部分机密性、完整性和可用性受损。可以通过升级到包含补丁的 1.7.0-beta1 版本来缓解此漏洞。目前尚未发现野外利用。

技术摘要

CVE-2025-14674 是在 aizuda snail-job 软件中发现的注入漏洞，具体位于 snail-job-common-core 模块的 QLExpressEngine.doEval 函数中。该函数负责评估表达式，由于输入处理不当，使得攻击者能够远程注入恶意代码。此漏洞影响所有 1.6.0 及之前的版本，并且不需要身份验证或用户交互，因此可通过网络远程利用。注入漏洞通常允许攻击者执行任意代码或命令、操纵数据或破坏服务可用性。该漏洞已在版本 1.7.0-beta1 中修复，对应的补丁提交为 978f316c38b3d68bb74d2489b5e5f721f6675e86。CVSS 4.0 向量显示攻击复杂度低、无需特权、无需用户交互，但对机密性、完整性和可用性的影响有限。目前尚未报告有野外利用，但如果被利用，存在远程代码执行或数据操纵的可能性。使用 snail-job 进行作业调度或自动化的组织应将此更新视为优先事项以防止被利用。

潜在影响

对于欧洲的组织而言，此漏洞主要对那些使用 aizuda snail-job 进行任务自动化、作业调度或工作流编排的组织构成中等风险。利用该漏洞可能允许攻击者远程注入恶意表达式，从而导致未经授权的代码执行、数据损坏或服务中断。这可能会影响业务连续性、数据完整性和机密性，尤其是在严重依赖自动化流程的行业，如制造业、金融和 IT 服务。缺乏所需的身份验证增加了外部攻击者利用的风险。虽然没有已知的活跃利用，但此漏洞存在于关键的自动化基础设施中，可能被用于横向移动或在定向攻击中持久化。该漏洞的影响范围有限且有可用的补丁，在一定程度上缓解了影响，但组织必须迅速采取行动以避免运营和声誉损害。

缓解建议

欧洲的组织应立即评估其 aizuda snail-job 的使用情况，并识别任何运行 1.0 至 1.6.0 版本的部署。主要的缓解措施是升级到包含官方补丁的 1.7.0-beta1 或更高版本。在应用升级之前，组织应将 snail-job 服务的网络访问权限限制在受信任的内部网络，围绕 QLExpressEngine 的使用实施严格的输入验证和监控，并部署入侵检测系统以识别异常的表达式评估。此外，组织应审查与表达式评估相关的可疑活动日志，并考虑隔离受影响的系统以限制潜在的横向移动。定期更新软件依赖项并及时应用安全补丁至关重要。安全团队还应就表达式评估引擎中注入漏洞的风险对开发人员和操作员进行教育，并强制实施安全的编码实践以防止类似问题。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利