murphysec的博客

让每一个开发者更安全的使用开源代码

  • 博客(252)
  • 收藏
  • 关注

原创 NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息

NPM组件n8n-nodes-zalo-tools-vts(0.0.1-0.0.6版本)及ass-frontend 1.0.0存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低,可能性中,属高危。建议立即排查并卸载受影响包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,加强依赖管理规范。

2025-07-08 00:21:31 128

原创 Redis hyperloglog 越界写入导致远程代码执行漏洞

CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度,导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本,利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作,建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+,并限制服务访问来源。

2025-07-08 00:19:22 1566

原创 NPM组件包 json-cookie-csv 等窃取主机敏感信息

NPM组件包json-cookie-csv等存在高危投毒漏洞,安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本,目前无最小修复版本。利用成本低、可能性中,强烈建议立即排查并移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,仅使用官方源并限制版本范围。

2025-07-07 00:28:21 456

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology remarkOperate接口存在高危远程命令执行漏洞,源于/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未经验证直接拼接SQL语句,导致SQL注入。攻击者可利用该漏洞执行任意SQL,甚至通过写文件实现远程命令执行。影响范围覆盖全版本,建议立即对该接口实施访问控制、WAF拦截SQL注入特征,同时升级至官方修复版本并采用参数化查询修复根本问题。

2025-07-07 00:10:15 262

原创 NPM组件 querypilot 等窃取主机敏感信息

【高危】NPM组件querypilot等存在投毒风险,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响组件包括@vapc-ui/font-icon、@indigo-mobile/material、querypilot等30余个,版本多为[1.0.0, 99.99.99]等大范围。利用成本低,可能性中。建议立即排查卸载受影响包,删除node_modules后重装依赖,全面检查系统安全,加强依赖管理(如限制版本范围、使用官方源)。

2025-07-06 01:42:05 573

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未校验直接拼接SQL,导致SQL注入。攻击者可执行任意SQL,甚至写文件实现远程命令执行,影响所有版本。建议立即限制接口访问、配置WAF过滤、验证参数输入,并通过官方渠道获取补丁修复。

2025-07-06 01:07:57 268

原创 NPM组件 nodemantle002 等窃取主机敏感信息

高危NPM组件投毒漏洞(MPS-qrk7-ayms)影响nodemantle002、lz-evm-sdk-v1等多个包,安装后窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括nodemantle002@2.3.1-6.2.1、definitelytyped-tools@1.0.0-99.99.98等。利用成本低,建议立即排查并卸载恶意包,删除node_modules后重装依赖,加强依赖管理(限制版本范围、使用官方源),用安全工具监控风险。

2025-07-05 01:03:16 541

原创 泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞,因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验,直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL,甚至通过写文件实现远程命令执行。所有版本均受影响,建议通过官方安全补丁修复,或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。

2025-07-05 00:45:04 503

原创 NPM组件 alan-baileys 等窃取主机敏感信息

NPM多个组件(如alan-baileys、logflow-json等)被投毒,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本涵盖alan-baileys@1.0.1、logflow-json@2.4.12等20余个包,利用成本低。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统异常,加强依赖管理(如限制版本范围、使用官方源)。

2025-07-03 01:37:30 806

原创 深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】

深信服运维安全管理系统存在严重远程命令执行漏洞(MPS-jnpc-w4hi),攻击者可绕过登录限制,通过未授权访问netConfig/set_port接口实现远程命令执行,获取系统权限。该漏洞POC已公开,利用成本低、可能性极高。影响版本为3.0.11_20231222之前的所有版本,最小修复版本为3.0.11_20231222。建议立即升级系统,同时可采取限制访问IP、防火墙拦截含接口关键字请求等应急措施。

2025-07-03 01:19:24 610

原创 汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞

汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景,受影响版本广泛。漏洞利用成本低、可能性极高且有POC,攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤,根本修复需升级至修复版本并添加认证与参数校验。

2025-07-02 00:57:23 589

原创 NPM组件 betsson 等窃取主机敏感信息

NPM仓库多个组件(如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等)被植入恶意代码,安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全(如异常进程、境外IP通信),加强依赖管理(使用官方源、限制版本范围、定期审计)。

2025-07-01 00:58:34 980

原创 Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

DataEase <2.10.11版本存在高危PostgreSQL数据源JDBC连接参数绕过漏洞(CVE-2025-53005)。因仅对JDBC连接字符串中socketFactory/socketFactoryArg参数黑名单限制,攻击者可通过sslfactory、sslfactoryarg等未限制参数绕过。影响io.dataease:core-backend及dataease组件,建议升级至2.10.11及以上版本,修复通过新增sslfactory、sslhostnameverifier等参数黑名单实现。

2025-07-01 00:24:34 475 1

原创 PyPI仓库 loggutils 组件内嵌恶意代码

PyPI仓库loggutils组件0.1.0版本内嵌恶意代码,属高危风险。安装后会窃取用户浏览器数据、剪贴板信息、系统文件,记录键盘输入并截取摄像头画面,同时实现远程控制。利用成本低,利用可能性中。建议立即排查是否安装该版本包,若已安装需彻底移除并扫描系统,检查异常进程与敏感信息泄露,加强依赖管理,仅从官方源安装组件并定期审计依赖安全。

2025-06-30 16:25:56 186

原创 Apache Seata < 2.3.0 raft反序列化漏洞

Apache Seata <2.3.0存在高危反序列化漏洞(CVE-2025-32897),影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名,直接通过Class.forName()加载,攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制,仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本,或限制Raft端口访问并启用IP白名单。

2025-06-30 16:23:25 324

原创 总结过去三年软件供应链安全一些非共识核心问题

过去三年,我大概每年平均至少见300个企业的专家和大佬们,这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的,但每次见也多少会有新的收获。因为工作的原因,我们聊最多的话题其实是跟软件供应链安全相关的,所以我最近就特别想把过去我们这1000次交流过程中,聊到的最核心的问题都提炼出来,然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中,把这些内容重点放进去。也是希望通过这样的方式,给所有准备做,或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。

2025-03-19 16:40:19 863

原创 探讨企业安全项目立项成功的关键

尤瓦尔·赫拉利在《人类简史》中说道:“讲故事”和“相信故事”的能力,是原始部落突破150人上限、展开大规模协作的前提。立项是什么?其实就是你在企业内部,把想做的事情以故事的形式,讲给企业管理者和同事们听,并且让他们相信这个故事,从而投入资源来帮助你实现你的故事。因为创业的缘故,平时和企业客户接触最多的一项工作,就是辅助企业安全专家大佬们,在内部申请立项。而且经常面对的是,来自各行业企业的客户的立项需求。虽然各家企业内部,立项的级别和项目内容,会有一些区别。但总体来说,立项流程。

2025-03-19 16:35:14 578

原创 聊聊近期三大软件供应链安全威胁

从近期大量曝光的安全事件分析可以发现,开源组件的投毒攻击是目前黑灰产最常用的攻击手段,尤其是针对虚拟货币交易所,愈演愈烈,大概率是黑灰产尝到了开展这一类攻击的甜头,从我们实际的经验来看,针对开源组件的投毒攻击,对于所有企业来说,成功率要远远高于企业安全专家们的预期,实际上非常容易成功的。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

2025-03-19 16:32:19 429

原创 作为创业者,DeepSeek爆火带来的七点启示

但从结果上来说,想要在全球范围内带来持久的影响力,必须要有真东西,必须要经得起用户的检验,必须要货真价实的为用户创造实在的价值,才有可能持续带来真正的正面影响力,不然都是泡沫和昙花一现。DeepSeek这个事情对我们的触动是非常之大的,甚至我都开始认为DeepSeek这一代的企业和企业家们,未来可能会用新的企业经营模式,给中国在全球激烈的竞争中赢得更大的影响力。一个是因为没有足够的卡和足够的钱,所以DeepSeek只能找一堆有理想的年轻人在一起埋头搞研发,搞创新,最后搞成了。

2025-03-19 16:18:15 1212

原创 从2024年十大热门安全初创公司看行业趋势

最近经常跟负责企业安全的朋友们,讨论2025年企业安全有什么新的业务方向。刚好这两天看到,海外知名IT媒体CRN发出的一篇《2024 年 10 家最热门的网络安全初创公司》文章。所以花了一下午的时间,研究了一下这些公司正在做的安全方向,以及他们产品的一些主打特性。我想,这从某种程度,也代表着行业的最新方向和趋势。所以趁着年底,我把自己看完之后的思考和分析写下来,跟朋友们分享一下,希望能给大家带来一些帮助,也欢迎大家一起交流。Cyera是一家成立于2021年的数据安全公司,总部位于美国纽约。

2025-03-19 16:12:33 733

原创 墨菲安全创始人章华鹏:老白帽创业三年,向死而生

两年多以前我刚开始创业时,写了一篇《白帽十年,再出发,愿归来仍是少年》的文章,分享了我这个搞了十年安全研究和企业安全建设的老白帽,为什么选择创业的心路历程。一晃两年多过去了,当写下这行文字的时候,正是2024年11月19日,按工商登记时间来算,我们创办墨菲安全这家企业刚好三周年。这三年对于我们来说,经历了太多太多跌宕起伏。2021年9月从大厂安全负责人岗位上毅然离职,和团队的几个伙伴充满激情、义无反顾的冲上创业这条路。

2025-03-19 16:06:16 687

原创 墨菲安全出席蚂蚁举办的切面会客厅,以供应链视角推动企业软件安全架构升级

切面服务收到任务后,结合漏洞修复信息,对存在漏洞的服务进行一键统一漏洞修复,完成整个漏洞事件的闭环。墨菲安全可以结合漏洞数据,将开源组件漏洞触发函数作为切点注入,当应用运行时,便可获取漏洞触发函数的调用栈信息,进而识别触发函数调用上下文信息,判断是否存在漏洞可达性路径,最终可以过滤掉95%左右的不可触发漏洞。安全切面技术能力的应用,就可以帮助运营人员在实际操作中,全量或下发特定的组件及风险识别任务,识别组件,并识别是否存在真实风险,以及风险资产对应的系统情况,进一步进行风险处置。

2025-03-19 15:32:49 1072

原创 墨菲安全荣获“华为网络安全应急响应协同奖”

在过去一年中,墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作,展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库,支持10min快速接入各开发流程,将代码项目存在的安全风险清晰展示,并支持IDE插件、GitHub等方式快速完成漏洞修复,轻松管理开源风险。,该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险,提供有效协作,并做出贡献的行业安全团队。贯众覆盖超6w+主流组件,并已全球首发多个0day预警,漏洞预警已达分钟级,从容应对安全风险。

2025-03-19 15:18:51 227

原创 墨菲安全入选首批“切面联盟技术合作伙伴计划”

墨菲安全作为安全平行切面联盟成员,凭借“基于切面技术的软件供应链安全”产品特色和创新实践,入选首批“切面联盟技术合作伙伴计划”,成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。

2024-08-14 15:36:56 1462

原创 24000字企业开源安全治理最佳实践发布

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结,在编写这篇最佳实践的2个多月过程中,我又收到将近20家企业的应用安全专家及安全负责人的高质量建议,这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持,当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。

2024-04-30 10:27:38 1029

原创 差点引爆全球的核弹,深度分析XZ-Utils供应链后门投毒事件

wp:quote处心积虑的投毒者蛰伏三年多,精心选择对象,通过复杂的攻击手法、专业的技战术,一步步支起一张大网,企图掌控全球主流linux发行版,一旦成功他将可以随意侵入全球绝大多数的服务器,这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽,事件被及早发现,没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性,本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件,应该加强企业自身的供应链安全体系建设,才能当危机来临时应对自如。/wp:quote。

2024-04-01 18:01:23 3935

原创 剖析美国政府视角下的ICT供应链安全

2018 年 11 月 15 日,美国国土安全部(DHS)宣布成立了信息和通信技术 (ICT) 供应链风险管理(SCRM)工作组,这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃,2024 年 2 月 6 日,该组织刚刚宣布将工作组延长两年。

2024-03-25 12:14:21 1491 1

原创 墨菲安全在软件供应链安全领域阶段性总结及思考

反观,今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程,据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%,据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿,到2028年还将翻一番来到20万亿,而当前软件产业链在安全上的投入恐怕连0.1%(100亿)都不到,这里面未来发展的空间非常大。传统的开发安全体系(SDL/DevSecOps)更多的关注的是软件研发过程中的安全管控,但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

2024-03-20 14:24:46 1097 1

原创 企业开展开源安全治理必要性及可行性详细分析

当新鲜事物产生时,首先我们应该积极的态度去拥抱它,但是它是不是真的值得我们投入(包括当下工作和未来个人技术成长),就需要客观的分析其必要性,同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向,也是当前企业面临的主要安全威胁,大量勒索攻击、数据泄露事件究其原因都与此有关,再加上自主可控的大背景需求下,此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向,行业头部企业都在积极投入和规划,我们应该如何客观看待,开源安全治理到底是昙花一现的伪需求?

2024-03-18 11:28:32 1618 1

原创 【高危】Apache Solr 环境变量信息泄漏漏洞

Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。

2024-01-17 18:22:20 1105

原创 【中危】IoTDB 存在远程代码执行漏洞

Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java Expression Language),可以在 java 程序中动态地运算一些表达式在受影响版本中,由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。

2024-01-17 18:19:19 651

原创 【高危】Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞

Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中,当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。漏洞已被Google发现在野利用。

2024-01-17 17:27:37 1197

原创 【严重】Atlassian Confluence 模板注入代码执行漏洞

Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中存在模版注入漏洞,攻击者通过构造恶意请求,可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞。漏洞已在8.5.4版本中修复,可能与velocity引擎中对snakeyaml、antlr等组件的支持有关。

2024-01-17 17:25:03 649

原创 【低危】OpenSSL 拒绝服务漏洞

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的,这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数,但会在 OpenSSL pkey 命令行应用程序中调用。

2024-01-17 17:22:38 1408

原创 【严重】GitLab 以其他用户身份执行 Slack 命令

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。GitLab 受影响版本中,由于配置Slack/Mattermost 集成时,未正确验证用户身份信息,导致攻击者可以使用其他用户身份执行 Slack 命令。2024/1/12。

2024-01-15 14:39:56 751

原创 【高危】Apache Solr 环境变量信息泄漏漏洞

Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。

2024-01-15 14:34:43 991

原创 【严重】GitLab 账号接管漏洞

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址,导致用户帐户被接管。GitLab 账号接管漏洞。

2024-01-15 14:32:12 942

原创 《网络弹性法案》协议达成,欧盟立法进一步临近实施

一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称,关于漏洞披露的规定适得其反,将制造新的威胁,破坏数字产品及其使用者的安全。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

2023-12-08 21:00:07 1066

原创 libcurl Socks5 堆缓冲区溢出漏洞(CVE-2023-38545)详细分析

curl 是用于在各种网络协议之间传输数据的命令行工具,libcurl 用于提供处理网络通信和数据传输的 Api 接口。curl 默认下载缓冲区为 102400 字节,但如果设置低于每秒 102400 字节,缓冲区大小会自动设置为更小的值。libcurl 下载缓冲区默认为 16KB,应用程序可通过 CURLOPT_BUFFERSIZE 选项设置其大小。

2023-10-25 15:06:25 1159

原创 CVE-2023-5129 libwebp堆缓冲区溢出漏洞影响分析

近日苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞,相关时间线如下:9月7日,苹果发布紧急更新,修复了此前由多伦多大学公民实验室报告的iMessage 0-click 漏洞,漏洞被认为已经被NSO公司的Pegasus间谍软件所利用,漏洞编号CVE-2023-41064;9月8日,libwebp 开发者提交 commit 修复了由于越界写入导致的堆缓冲区溢出漏洞;

2023-09-28 15:26:45 2009

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除