2025年6月12日新增漏洞情報

CVE暫未收錄高危以上漏洞：3

CVE熱點漏洞精選：3

投毒情報：2

漏洞感知情報（CVE暫未收錄）

1. MinIO未授權訪問漏洞致多部分上傳元數據泄露

漏洞描述

該漏洞源于S3 API接口list-multipart-uploads缺失資源級權限校驗機制，攻擊者可構造惡意GET請求遍歷檢索全實例范圍內所有活躍分片上傳會話記錄。由于無需身份憑證即可直接訪問受保護資源，成功利用后能夠非法獲取包含上傳者標識、文件路徑等關鍵元數據信息，進一步形成基于業(yè)務上下文的關系推斷攻擊面。CVSS評分依據顯示攻擊代價極低且作用域維持不變，僅需單次網絡請求即可同步造成機密性與完整性雙重破壞。

組件描述

MinIO是兼容Amazon S3協議的分布式對象存儲系統(tǒng)，專為云原生環(huán)境優(yōu)化設計其高可用架構提供大規(guī)模非結構化數據管理能力。組件通過實現標準RESTful API完成數據生命周期治理，采用分布式存儲引擎保障跨節(jié)點數據一致性與彈性擴展特性。

漏洞詳情

漏洞威脅性評級: 9.1 (超危)

漏洞類型: Broken Access Control (CWE-285)

受影響組件倉庫地址: https://github.com/minio/minio

Star數: 53072

漏洞詳情鏈接: https://github.com/minio/minio/issues/21375

2. PostgREST API Server因JWT身份驗證缺陷引發(fā)橫向移動及數據泄露風險

漏洞描述

該漏洞源于JWT校驗邏輯違背RFC 7519規(guī)范要求，默認配置完全忽略aud（受眾）聲明字段的存在性判斷。攻擊者可利用此缺陷在跨服務調用場景中劫持合法JWT，通過調整iss（簽發(fā)方）或sub（主題）字段值實施身份偽裝，進而突破同源策略限制完成橫向滲透。由于無需用戶交互即可經網絡路徑觸發(fā)，且直接影響保密性（HIGH）和完整性（HIGH），可能造成整個數據平面的越權訪問與篡改風險。

組件描述

PostgREST是一款將PostgreSQL數據庫直接暴露為RESTful API的服務框架，采用零配置模式實現SQL到JSON的數據交互，其核心特性包括自動表結構映射、行級安全策略與OAuth 2.0身份驗證支持。組件通過中間件層抽象數據庫操作，適用于微服務架構中快速構建數據接口場景，默認啟用JWT身份驗證但依賴第三方庫解析聲明字段。

漏洞詳情

漏洞威脅性評級: 9.1 (超危)

漏洞類型: Improper Authorization (CWE-285)

受影響組件倉庫地址: https://github.com/PostgREST/postgrest

Star數: 25385

漏洞詳情鏈接: https://github.com/PostgREST/postgrest/issues/4134

3. Zizmor組件符號引用時間競爭漏洞允許攻擊者遠程執(zhí)行任意代碼

漏洞描述

該漏洞源于時間競爭檢查缺陷（TOCTOU），攻擊者可構造包含雙階段載荷的分支。首階段以無風險提交誘導維護人員發(fā)起`workflow_dispatch`事件，隨后立即更新符號引用指向嵌有隱蔽payload的新提交。由于工作流引擎在接收事件指令時尚未完成分支快照凍結，攻擊者可在代碼拉取與腳本解析間隙注入惡意文件（如植入shell命令或第三方庫）。CVSS 9.6評分映射出漏洞具備遠程代碼執(zhí)行（RCE）、完全破壞機密性、完整性和可用性的潛力，且攻擊鏈涉及用戶交互環(huán)節(jié)增加社會工程維度威脅。

組件描述

zizmor作為一個基于GitHub Actions的持續(xù)集成組件，其核心功能是通過工作流定義實現自動化構建與部署。組件采用符號引用（symbolic reference）綁定分支/拉取請求上下文的方式觸發(fā)執(zhí)行，設計目標在于簡化多源代碼協同開發(fā)場景下的流程編排。然而這種動態(tài)執(zhí)行機制依賴于事件驅動模型與維護人員手動觸發(fā)邏輯，導致執(zhí)行前后的上下文一致性難以保障。

漏洞詳情

漏洞威脅性評級: 9.6 (超危)

漏洞類型: TOCTOU (CWE-362)

受影響組件倉庫地址: https://github.com/zizmorcore/zizmor

Star數: 2684

漏洞詳情鏈接: https://github.com/zizmorcore/zizmor/issues/935

新增CVE 情報

1. Firefox Canvas渲染惡意繪圖指令越界內存寫漏洞導致遠程代碼執(zhí)行

漏洞描述

漏洞編號：CVE-2025-49709

發(fā)布日期：2025年06月11日

CVSS v3.1 評分為 9.8（超危）

參考鏈接：https://nvd.nist.gov/vuln/detail/CVE-2025-49709

在 139.0.4 版本前，其 HTML Canvas 渲染模塊因邊界校驗不足，存在 越界內存寫（CWE-787） 安全缺陷。特定序列化繪圖指令（如位圖合成、像素緩沖區(qū)操作）可能引發(fā)堆內存覆蓋，威脅進程穩(wěn)定性與安全性。Firefox 瀏覽器在特定畫布操作場景下存在內存損壞漏洞，攻擊者可通過構造惡意頁面觸發(fā)，導致遠程代碼執(zhí)行或服務中斷。該漏洞已被證實存在公開利用證據。漏洞影響所有未更新至 139.0.4 的 Firefox 用戶，包括桌面版與移動設備部署場景。攻擊者僅需誘導目標訪問特制網頁即可完成漏洞利用，無須用戶交互且可遠程操控。

組件描述

Firefox 是一款跨平臺開源網絡瀏覽器，支持復雜圖形渲染與 Web 技術交互。

潛在風險

攻擊復雜度低：非專業(yè)攻擊者亦可構造 PoC

已檢測到實際利用嘗試：攻防對抗窗口緊縮

修復建議

1. 緊急升級至 Firefox 139.0.4 或更高版本

2. 對運行環(huán)境啟用沙箱隔離機制

3. 阻斷不可信來源的 Canvas 腳本加載

4. 監(jiān)控異常內存訪問行為日志

2. Firefox JS引擎OrderedHashTable構造數據處理整數溢出漏洞致任意代碼執(zhí)行

漏洞描述

漏洞編號：CVE-2025-49710

發(fā)布時間：2025年06月11日

CVSS v3.1 評分為 9.8（超危）

參考鏈接：https://nvd.nist.gov/vuln/detail/CVE-2025-49710

在 Firefox < 139.0.4 版本中，JavaScript 引擎使用的 `OrderedHashTable` 組件存在整數溢出漏洞。當處理特定構造的表數據時，整數運算結果超出變量表示范圍可能導致內存越界行為，攻擊者可通過遠程惡意網站觸發(fā)該漏洞，進而造成任意代碼執(zhí)行或服務中斷風險。

組件描述

Mozilla Firefox 是由 Mozilla 基金會開發(fā)的開源網頁瀏覽器，其內置 JavaScript 引擎負責解析和執(zhí)行 Web 頁面中的腳本邏輯。

潛在風險

該漏洞攻擊門檻極低，無需用戶交互即可實現遠程利用，泄露內容可能涵蓋敏感內存狀態(tài)并破壞系統(tǒng)穩(wěn)定性。

修復建議

建議受影響用戶立即升級至 Firefox 139.0.4 及以上版本，開發(fā)者需優(yōu)先審查動態(tài)數組大小計算邏輯，采用邊界檢查機制防范類似問題。

3. Microsoft 365 Copilot AI命令解析惡意指令注入漏洞致系統(tǒng)命令執(zhí)行

漏洞描述

漏洞編號：CVE-2025-32711

發(fā)布時間：2025年06月11日

CVSS v3.1 評分為 9.3（超危）

參考鏈接：https://nvd.nist.gov/vuln/detail/CVE-2025-32711

其 AI 命令解析組件 存在嚴重安全缺陷：攻擊者可通過構造惡意輸入向系統(tǒng)注入未經驗證的命令參數，繞過默認的安全校驗邏輯，在目標服務器上執(zhí)行任意操作系統(tǒng)指令。具體而言，當用戶提交特定格式的查詢請求時，系統(tǒng)未能有效區(qū)分合法的自然語言指令與潛在危險的操作符組合（如分號 `;`、管道符 `|` 等），導致攻擊者能夠觸發(fā)底層腳本引擎執(zhí)行非預期操作。該漏洞無需用戶交互即可遠程利用，成功入侵后可讀取本地文件、劫持內部服務通信或橫向滲透企業(yè)內網資源。

組件描述

Microsoft 365 Copilot 是微軟推出的集成式人工智能協作平臺，旨在通過自然語言交互協助企業(yè)管理文檔、數據分析、會議記錄等核心業(yè)務流程。該系統(tǒng)基于云端部署，提供跨設備的實時協同能力，廣泛應用于企業(yè)知識庫構建與智能決策場景。

潛在風險

此漏洞攻擊成本極低（CVSS 可利用性得分3.9），且因涉及敏感數據泄露（CVSS 機密性影響 HIGH），已被證實具備實戰(zhàn)化利用價值。

修復建議

建議受影響用戶立即關注微軟官方公告，部署緊急修復方案，并通過最小權限原則限制 Copilot 的 API 調用范圍。

投毒情報

1. npm投毒事件

事件描述

npm中frontend-tests組件的1.0.0版本被標記為存在惡意性。該組件被發(fā)現與一個與惡意活動相關的域名進行通信并且執(zhí)行了一個或多個與惡意行為相關的命令。該組件版本的md5值為f4bbbbff85459bdfe65848726d941a6f

發(fā)布日期

2025年06月12日

2.npm投毒事件

事件描述

npm中os-apps-ui-curvelibrary組件的11.1.9版本被標記為存在惡意性。該組件被發(fā)現與一個與惡意活動相關的域名進行通信并且執(zhí)行了一個或多個與惡意行為相關的命令。該組件版本的md5值為f66ee3328243970488d7bf8c995a4cdc

發(fā)布日期

2025年06月12日

開源安全，始于清源。讓我們共同守護代碼基石，釋放開源生態(tài)的真正潛力！

關于安勢信息

上海安勢信息技術有限公司是國內先進的軟件供應鏈安全治理解決方案提供商，核心團隊來自Synopsys、華為、阿里巴巴、騰訊、中興等國內外企業(yè)。安勢信息始終堅持DevSecOps的理念和實踐，以AI、多維探測和底層引擎開發(fā)等技術為核心，提供包括清源CleanSource SCA（軟件成分分析）、清源SCA開源版、清正CleanBinary (二進制代碼掃描)、清流PureStream（AI風險治理平臺）、清本CleanCode SAST（企業(yè)級白盒靜態(tài)代碼掃描）、可信開源軟件服務平臺、開源治理服務等產品和解決方案，覆蓋央企、高科技、互聯網、ICT、汽車、高端制造、半導體&軟件、金融等多元化場景的軟件供應鏈安全治理最佳實踐。

歡迎訪問安勢信息官網www.sectrend.com.cn或發(fā)送郵件至 info@sectrend.com.cn垂詢。