清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年06月19日

扫码进群：获取每日最新漏洞和投毒情报推送

1. GPAC MPEG-H音频解析远程代码执行漏洞

漏洞描述

该漏洞源于输入校验缺失导致的控制流劫持风险，gf_isom_add_track_kind()在处理MPEG-H Audio tracks时，可能传递空指针给strdup()，没有先行校验输入的kind是否为NULL，导致segfault（空指针解引用）。攻击者通过HTTP服务器投递恶意构造的MP4样本即可远程触发SEGV异常，造成进程级崩溃同时存在栈溢出执行任意代码的潜在威胁路径。

组件描述

gpac作为多媒体框架主要实现MP4文件解析与MPEG-H音轨处理功能，采用模块化架构设计包含isomedia库的核心解析组件。isom_write.c中gf_isom_add_track_kind函数承担音轨元数据注入职责，在MP4容器扩展场景下承载动态内存分配任务。

漏洞详情

漏洞威胁性评级： 9.8 (超危)

漏洞类型： NULL pointer dereference (CWE-476)

受影响组件仓库地址： https：//github.com/gpac/gpac

Star数： 3029

漏洞详情链接： https：//github.com/gpac/gpac/issues/3260

1. pgai GitHub Token秘密泄露导致仓库篡改和任意代码注入

漏洞描述

漏洞编号：CVE-2025-52467

发布时间：2025年06月19日

CVSS评分为9.1（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-52467

在pgai Python库的工作流配置中，GITHUB_TOKEN默认具备仓库写权限，导致攻击者通过工作流任务获取敏感凭证后，能够直接向源码仓库推送恶意分支、篡改历史记录或发布恶意版本包。该漏洞源于CI/CD管道中权限最小化原则缺失，攻击者可通过泄露的令牌实现持续集成系统的完全控制。此问题已在提交8eb3567中通过剥离GITHUB_TOKEN的写权限并引入动态凭据绑定机制完成修复。

漏洞影响所有依赖pgai且未同步至8eb3567提交的开发者账户，特别关注托管于GitHub生态的自动化流水线系统。攻击者无需身份认证即可通过CI事件触发漏洞，最终可能导致供应链污染或下游依赖方遭受横向渗透。

组件描述

pgai是Timescale开发的开源库，通过扩展PostgreSQL功能实现大规模数据检索优化，广泛应用于基于LLM的智能代理系统开发。

潜在风险

权限滥用成本极低：标准CI工作流即成初始入侵面

确认存在自动化渗透脚本：攻击隐蔽性强于传统PoC

全链路控制能力：包含版本号重写、许可证变更等高级攻击路径

修复建议

1.即刻拉取timescale/pgai@8eb3567补丁提交至本地分支

2.对现有工作流实施最小权限策略审查（重点关注secrets.*作用域）

3.在GitHub Actions中强制启用分支保护规则与签名验证

4.使用Dependabot监控上游依赖项的符号级变化

2. EfroTech Time Trax请假申请表文件附件任意代码执行漏洞

漏洞描述

漏洞编号：CVE-2025-46157

发布时间：2025年06月18日

CVSS评分为9.9（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-46157

在EfroTech Time Traxv.1.0中，其请假申请表的文件附件功能因缺乏有效输入验证，存在危险类型文件不限制上传（CWE-434）安全缺陷。攻击者可通过构造包含恶意代码的文件附件（如特制脚本或动态库），绕过类型校验机制实现本地代码注入。此漏洞允许远程攻击者通过社会工程诱导目标提交恶意文件，最终获取系统控制权限。

漏洞影响所有部署EfroTech Time Traxv.1.0及此前版本的企业及个人用户。攻击者无需身份认证即可发起攻击，且利用过程完全自动化。

组件描述

EfroTech Time Trax是一套时间追踪管理软件，支持员工考勤记录、假期审批及工作日志维护等功能。其核心模块包含基于Web的表单交互界面，用于处理企业内部事务流程。

潜在风险

攻击复杂度低：无需专业知识即可构造恶意文件

文件类型覆盖广泛：支持多格式上传扩展攻击面

权限提升可能性高：成功利用可能导致系统级权限接管

修复建议

1.禁用非必要文件上传功能，优先采用替代通信方式

2.实施严格的文件类型白名单策略（含MIME类型双重校验）

3.在服务器侧增加文件内容扫描层（如ClamAV集成）

4.对遗留系统实施网络访问控制，隔离外部接入通道

5.关注供应商官方渠道的修复方案更新通知

3. ClamAV PDF扫描堆缓冲区溢出漏洞导致服务拒绝及任意代码执行

漏洞描述

漏洞编号：CVE-2025-20260

发布时间：2025年06月19日

CVSS评分为9.8（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-20260

在ClamAV PDF扫描处理流程中，因堆内存缓冲区分配错误（CWE-122）存在安全缺陷。攻击者通过提交特制PDF文件，可触发缓冲区溢出，导致ClamAV扫描进程崩溃并产生拒绝服务（DoS）条件。尽管缺乏直接验证，但理论上攻击者可借此获取ClamAV进程同权级的任意代码执行能力。此漏洞已被发现存在公开利用痕迹，攻击无需用户交互且具备远程触发特性。

漏洞影响所有搭载PDF扫描功能的ClamAV部署实例，无论服务器端还是集成终端场景均面临风险。攻击者仅需构造恶意文档并诱导目标系统扫描即可实现漏洞利用。

组件描述

ClamAV是一款开源杀毒引擎，广泛用于邮件网关、文件存储系统等领域，提供多格式文件病毒扫描能力。

潜在风险

攻击复杂度极低：普通攻击者可快速复现PoC

存在真实利用案例：防御响应窗口严重受限

修复建议

1.升级至官方发布的修复版本（具体版本待补充）

2.暂停非必要PDF文件扫描任务直至修补完成

3.在容器化环境中实施最小权限原则

4.启用操作系统层OOMKiller保护机制

5.部署HIDS实时监测clamd进程内存异常增长

4. Backup Server认证域用户远程代码执行漏洞

漏洞描述

漏洞编号：CVE-2025-23121

发布时间：2025年06月19日

CVSS评分为9.9（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-23121

在受影响的Backup Server组件中，认证域用户可通过精心设计的操作流程实现远程代码执行（RCE）。攻击者需具有域用户身份（无需管理员权限）且目标服务器已加入域。攻击者可在Backup Server上执行任意代码，完全控制服务器，进而威胁备份数据完整性，或者作为跳板横向渗透。

组件描述

Veeam Backup Server在Veeam Backup & Replication产品中是核心的管理组件，安装在Windows实例上，可为物理或虚拟机环境。Backup Server是用于集中管理企业级数据备份与恢复的核心基础设施，承担敏感业务系统的灾备职责。其功能涵盖策略配置、任务调度及多节点协作机制，具有较高运维价值。

潜在风险

-攻击成本极低：CVSS评估显示攻击复杂度仅为"Low"，普通攻击者即可复现POC

-实战化入侵特征显著：已有确认的恶意活动报告

-全维度资产损失：CVSS指标显示保密性、完整性、可用性均遭破坏

-可横向扩散至域控制器：利用Kerberos/TGS凭据重放达成持久化控制

修复建议

1.升级版本：强烈建议升级至Veeam Backup & Replication 12.3.2 (build 12.3.2.3617)，此版本已修复该漏洞

2.强化域账户权限管控，实施最小特权原则

3.官方及CERT建议备份服务器无需加入主域，如必须加入应加入独立域

4.启用PowerShell日志审计与异常进程监控告警机制

5.停用非必要的远程备份接口直至完成安全加固

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中sentry-docs组件的1.0.0版本被标记为存在恶意性。  

该组件被发现与一个与恶意活动相关的域名进行通信。  

该组件版本的md5值为4d3dd933158a94f14bd6e5b73df95f67,  

发布日期

2025年06月19日