【高危】Apache bRPC ＜1.5.0 存在任意代码执行漏洞

墨菲安全

于 2023-06-01 14:30:26 发布

阅读量836

点赞数

CC 4.0 BY-SA版权

分类专栏：墨菲安全实验室漏洞预警文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/murphysec/article/details/130987397

漏洞描述

Apache bRPC 是C++开发、由百度RPC发展而来的工业级 RPC 框架。

该项目受影响版本存在任意代码执行漏洞，由于server.cpp对于用户输入的pid_file使用wordexp展开。

具备bRPC控制权限的攻击者可在bRPC启动时通过控制pid_file参数注入恶意内容（如 $(touch /tmp/hacked)），进而导致以bRPC进程权限执行任意代码。

漏洞名称	GeoServer 存在 sql 注入漏洞
漏洞类型	输入验证不恰当
发现时间	2023/5/8
漏洞影响广度	广
MPS编号	MPS-5axh-yjvd
CVE编号	CVE-2023-31039
CNVD编号	-

影响范围

bRPC@[0.9.0, 1.5.0)

修复方案

将组件 bRPC 升级至 1.5.0 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-5axh-yjvd

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

墨菲安全

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

参与评论您还未登录，请先登录后发表或查看评论

博客

NPM组件 @azet/api 等窃取主机敏感信息

07-31

444

NPM组件@azet/api等存在高危投毒漏洞，安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及@twork-data-services/*、@moonpig/web-core-*、@azl-react-components/*等多个组件，受影响版本多为[0.99.0, 99.99.0]、172.0.0等。漏洞利用成本低，建议立即排查卸载恶意包，删除node_modules后重装依赖，全面检查系统安全并重置敏感凭证，加强依赖管理规范。

博客

Google Chrome ＜140.0.7297.0 MediaStreamTrackImpl UAF漏洞

07-31

476

CVE-2025-8292是Google Chrome/Chromium的高危Use-After-Free漏洞，影响版本<140.0.7297.0。漏洞因MediaStreamTrackImpl组件销毁前未清除对音频接收器（SpeechRecognitionMediaStreamAudioSink）的引用所致。修复通过引入Dispose()预清理方法，在对象销毁前主动移除关联引用，消除悬垂指针。建议用户升级至140.0.7297.0及以上版本，临时可禁用语音识别或限制麦克风权限缓解风险。

博客

NPM组件 @0xme5war/apicli 等窃取主机敏感信息

07-30

358

【高危】多款NPM组件存在投毒风险，包括@0xme5war/apicli [1.0.0,2.0.0]、react-native-gainsight-px [1.5.2,1.12.5]等20余款。安装后会窃取主机名、用户名、工作目录、IP等敏感信息，发送至攻击者电报地址（botToken=7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IVDE，chatId=6567865682）。利用成本低，建议立即排查卸载受影响包，删除node_modules及package-lock

博客

NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息

07-29

910

【高危】多款NPM组件（如@ai0x1337/budoux-extension、@cwlib/core等）被投毒，安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。影响超20个包，含伪装成熟组件（如Sentry工具包）、内部CLI工具等，利用成本低。建议立即排查并卸载受影响包，删除node_modules重装依赖，扫描系统异常，重置敏感凭证，加强依赖管理（限版本范围、用官方源、定期审计）。

博客

Google Chrome V8＜ 13.7.120 沙箱绕过漏洞

07-28

733

Google Chrome V8<13.7.120沙箱绕过漏洞（MPS-id8s-k96g），影响V8<13.7.120、Chrome/Chromium<137.0.7137.0。因JsonParser::MakeString处理长度1的转义字符串时存在二次获取问题，致DecodeString基于过时检查结果写入2字节栈缓冲区，引发栈溢出。修复通过重构DecodeString，引入长度计数器并添加SBXCHECK_GE(length,2)校验防溢出，建议升级至V8 13.7.120+或Chrome 137.

博客

NPM组件 @ctra/utils 等窃取主机敏感信息

07-26

617

【高危】NPM组件投毒漏洞，涉及@ctra/utils等多个包（如openai-fm、airbnb-prod等），安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。受影响版本无修复版本，利用成本低。建议立即排查并卸载恶意包，删除node_modules和package-lock.json后重装依赖，全面检查系统安全（如异常进程、境外IP通信），加强依赖管理（限版本范围、用官方源、定期审计）。

博客

Google Chrome V8＜ 14.0.221 类型混淆漏洞

07-23

963

CVE-2025-8011是Google Chrome V8引擎的高危类型混淆漏洞，因Maglev编译器内联逻辑缺少边界检查，内联函数过多致InliningId整数溢出，损坏SourcePosition元数据，反优化时引发类型混淆。影响V8<14.0.221、Chrome/Chromium<138.0.7204.168。修复需升级至V8 14.0.221或Chrome 138.0.7204.168及以上，通过增加内联数量上限检查防止溢出。

博客

NPM组件 @lain-test-org/test-package 等窃取主机敏感信息

07-22

884

【高危】多个NPM组件（如@lain-test-org/test-package等）存在投毒风险，安装受影响版本时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围包括react-type-next、pmcrypto、fxa-setting等30余个组件，部分版本跨度大（如pmcrypto [0.1.0, 99.99.99]）。漏洞利用成本低、可能性中，强烈建议立即排查移除恶意包，全面检查系统安全，加强依赖管理。

博客

NPM组件 function-flag 等内嵌恶意木马

07-20

383

【高危】NPM组件function-flag（2.3.4-4.0.0）、function-string（3.0.0）等版本存在恶意投毒。用户安装后会下载执行svchost.exe木马，导致攻击者窃取主机信息并实施远控。漏洞利用成本低、可能性中，影响使用相关组件的Node.js项目。建议立即排查移除受影响包，扫描系统异常进程及网络连接，重置敏感凭证，并加强依赖管理，仅使用官方源及成熟组件。

博客

NPM组件 function-flag 等内嵌恶意木马

07-19

486

NPM组件function-flag（2.3.4-4.0.0）、function-string（3.0.0）等版本被植入恶意木马，用户安装后会下载执行svchost.exe，导致攻击者窃取主机信息并实施远控。该漏洞高危，利用成本低、可能性中。处置建议：立即卸载受影响包，删除node_modules及package-lock.json后重装依赖；全面扫描系统排查异常进程与网络连接，重置敏感凭证；加强依赖管理，仅使用官方源，定期审计依赖。

博客

PyPI仓库 crto0 组件内嵌信息窃取木马

07-18

512

PyPI仓库crto组件1.0.7版本内嵌信息窃取木马，用户安装后会从攻击者可控Github地址下载执行恶意程序，窃取Windows系统信息（用户信息、截图、摄像头、硬盘等）、Discord账户、浏览器数据（密码、Cookie、信用卡信息等）及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低，建议立即移除受影响包，全面检查系统安全，加强依赖管理，仅从官方源安装组件。

博客

WPS文档中心及文档中台远程命令执行漏洞

07-18

1303

WPS文档中心（7.0.2306b至7.0.2405b前版本）及文档中台（6.0.2205至7.1.2405前版本）的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥，进而修改K8s配置添加路由映射，通过特定接口执行命令。利用可能性高且有POC，建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本，同时阻断相关接口未授权访问并轮换密钥。

博客

PyPI仓库 iscc-flag 组件内嵌恶意木马

07-17

277

【高危】PyPI仓库iscc-flag（0.0.1版）及anku2-rce（0.0.1-0.0.2版）组件被植入恶意代码，安装后下载run.bat木马，窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中，建议立即排查移除受影响包，扫描系统异常进程与网络连接，重置敏感凭证，加强依赖管理，仅从官方源安装组件并定期审计依赖。

博客

Node.js Windows下路径遍历漏洞

07-17

822

Node.js Windows路径遍历高危漏洞（CVE-2025-27210）存在于Windows系统下，攻击者可利用Windows保留设备名（如AUX、CON、PRN等）绕过path.join的路径遍历保护，通过构造特殊路径（如..\\..\\AUX\\..\\..\\target.txt）访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理，建议升级至20.19.4、22.17.1或24.4.1及以上

博客

NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

07-16

937

【高危】多个NPM组件（如@ivy-shared-components/iconslibrary、ado-codespaces-auth等）存在投毒风险，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及多个特定版本包，利用成本低。建议立即移除受影响包，全面排查系统安全（如异常进程、敏感凭证），并加强依赖管理（限制版本范围、使用安全工具监控）。

博客

Google Chrome V8＜ 13.6.86 类型混淆漏洞

07-16

859

Google Chrome V8引擎（<13.6.86）及Chrome浏览器（<136.0.7075.0）存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入，覆盖数组长度获取任意地址读写能力，最终实现RCE。修复版本移除LoopPeelingPhase及相关标志，建议升级V8至13.6.86+、Chrome至136.0.7075.0+。

博客

Google Chrome V8＜ 13.6.86 类型混淆漏洞

07-15

410

Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞，因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象，在扁平化操作时触发越界写入，覆盖数组长度实现任意地址读写，最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本，移除LoopPeelingPhase及相关标志。

博客

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

07-14

667

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径，攻击者可构造含../的恶意压缩包，通过路径穿越写入WebShell。2025年5月6日发布的1.3.2补丁添加路径校验机制，拦截路径穿越符号。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]，利用成本低、可能性极高，存在POC。建议升级至1.3.2及以上补丁版本修复。

博客

NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

07-13

334

NPM组件投毒漏洞（MPS-8htd-4bis）影响@blocks-shared/atom-panel等超70个包，安装后窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本含nbastatsleftnav [1.0.0,99.0.1]、casino2025 1.1.20等，多数无修复版本。利用成本低，建议立即排查卸载恶意包，删除node_modules及package-lock.json后重装依赖，扫描系统异常并重置敏感凭证，加强依赖管理。

博客

契约锁电子签章系统 pdfverifier 远程代码执行漏洞

07-13

476

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径合法性，攻击者可构造含../的恶意压缩包条目，解压时写入服务器任意路径，实现WebShell上传与远程代码执行。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]。2025年5月6日发布的1.3.2补丁引入路径校验机制，拦截含../的文件条目。漏洞利用成本低、可能性极高，存在POC，建议用户立即升级至1.3.2及以上安全补丁。