清源SCA社区每日漏洞提早感知情报、新增CVE及投毒情报推送-2025年08月18日

扫码进群：获取每日最新漏洞和投毒情报推送

1. Halo 硬编码Java KeyStore密码暴露认证密钥可引发身份伪装

漏洞描述

组件默认实现中固定使用 "changeit" 字符串初始化 KeyStore 加密实例，攻击者通过逆向工程或供应链投毒手段获取构建制品后，可直接定位脆弱代码段解析加密密钥文件，进而批量破解存储的两步验证码种子值，最终实现绕过身份验证机制。

组件描述

Halo 是一款基于 Java 的开源博客平台，核心模块包含双因素认证(TOTP)体系，采用 Java KeyStore 存储敏感密钥材料，系统设计目标为分布式部署场景下简化密钥生命周期管理。

漏洞详情

漏洞威胁性评级： 8.4 (高危)

漏洞类型： Use of Hard-coded Cryptographic Key (CWE-321)

受影响组件仓库地址： https：//github.com/halo-dev/halo

Star数： 36568

缓解建议

推荐采用运行时动态载入的加密材料注入方案，优先使用操作系统凭据保险箱或云服务商 KMS 服务替代明文密码配置，同时建立密钥轮转策略并实施应用层审计追踪机制。

2. xinhu系统publicsaveAjax接口越权访问漏洞引发数据库记录篡改风险

漏洞描述

该漏洞源于publicsaveAjax方法未对请求参数中指定的目标表名(table)、主键值(id)及字段集(submitfields_postabc)实施细粒度权限校验，攻击者可通过构造含非自身权限域数据对象的POST请求包，结合伪造字段映射关系及预签名(sys_signature)欺骗认证机制，突破水平越权约束并获取超越当前角色能力的写入权限，具体表现为普通用户可模拟管理员执行敏感业务操作，或非法覆盖其他用户专属数据资产，直接影响数据库内容完整性与操作审计可信性。

组件描述

xinhu系统采用集中式Web架构设计，publicsaveAjax模块作为核心数据持久层组件，主要承担表单提交、业务数据解析及关系型数据库CRUD操作功能，通过会话凭证实现基础身份认证，在工作流引擎驱动下完成跨模块的数据联动与业务逻辑封装，部署目标为提升组织内部协作效率。

漏洞详情

漏洞威胁性评级： 8.0 (高危)

漏洞类型： Improper Authorization (CWE-285)

受影响组件仓库地址： https：//github.com/rainrocka/xinhu

Star数： 131

缓解建议

建议强制校验目标资源所属模块的访问控制列表(ACL)，对关键操作字段实施基于角色的正则匹配白名单策略，引入基于JWT的声明式权限元数据校验框架，同时启用双向SQL注入防护机制，包括参数化查询与敏感词实时阻断，最终通过全链路操作日志记录实现异常行为追溯。

1. Vowifi服务命令注入漏洞导致远程权限提升

漏洞描述

漏洞编号：CVE-2025-31715

发布时间：2025年08月18日

CVSS 评分为 9.8（超危）

参考链接：https：//nvd.nist.gov/vuln/detail/CVE-2025-31715

在Vowifi服务中，由于输入验证不足，存在 命令注入（CWE-78） 安全缺陷。攻击者可通过构造特殊输入字符串绕过验证逻辑，向底层操作系统注入任意命令。该漏洞允许攻击者在不依赖现有权限的情况下实现远程提权操作，从而控制宿主系统的全部功能。

漏洞影响所有部署了存在缺陷Vowifi服务的设备，包括但不限于物联网网关及无线接入控制器等场景。攻击者仅需发送精心构造的网络请求即可完成漏洞利用，无需用户交互且具备远程可控性。

组件描述

Vowifi是一种基于Wi-Fi协议栈的服务框架，主要负责无线网络连接管理与语音通信功能集成，常用于智能终端设备互联场景。

潜在风险

从普通用户到管理员：漏洞利用后攻击者可突破原有权限隔离机制，获得与服务进程相同的系统权限

完全系统控制：攻击者可读取敏感配置文件、植入持久化后门或破坏关键服务运行

供应链渗透：若设备作为网关节点被攻陷，可能进一步横向扩散至内网基础设施

无用户交互攻击：通过自动化工具持续扫描开放端口（T1120），批量实施无文件攻击

修复建议

1. 在防火墙策略中限制非必要端口对外暴露

2. 启用最小权限原则部署服务进程

3. 部署Web应用防火墙规则检测异常输入模式

1. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中com.db.spain.common.fif.ngx-fusion-ufe组件的2.2.8版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为c70ede4b012d67550870c94e1a35d9ec

发布日期

2025年08月18日

2. 投毒事件

事件描述

这是一个PyPI官方仓库中的投毒事件, PyPI中swiv组件的0.4版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信。 该组件版本的md5值为3e95d22362a3686a1d38c8f6d13d8b46

发布日期

2025年08月18日

3. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件，npm中eslint-config-i18n-scan组件的11.0.3版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为c8dd6a2943512b2e62d7bbda1d248b4e，

发布日期

2025年08月18日

4. 投毒事件

事件描述

这是一个npm官方仓库中的投毒事件, npm中eslint-plugin-i18n-scan组件的11.0.5版本被标记为存在恶意性。 该组件被发现与一个与恶意活动相关的域名进行通信并且执行了一个或多个与恶意行为相关的命令。 该组件版本的md5值为6a6abebb5a19b4b57b50a358c35c8255

发布日期

2025年08月18日