墨菲安全-优快云博客

原创 PyPI仓库 crto0 组件内嵌信息窃取木马

PyPI仓库crto组件1.0.7版本内嵌信息窃取木马，用户安装后会从攻击者可控Github地址下载执行恶意程序，窃取Windows系统信息（用户信息、截图、摄像头、硬盘等）、Discord账户、浏览器数据（密码、Cookie、信用卡信息等）及钱包、游戏启动器敏感数据并发送至攻击者服务器。利用成本低，建议立即移除受影响包，全面检查系统安全，加强依赖管理，仅从官方源安装组件。

2025-07-18 01:06:38 173

WPS文档中心（7.0.2306b至7.0.2405b前版本）及文档中台（6.0.2205至7.1.2405前版本）的2024年5月前docker私有化部署实例存在严重远程命令执行漏洞。攻击者可未授权访问接口获取AK/SK密钥，进而修改K8s配置添加路由映射，通过特定接口执行命令。利用可能性高且有POC，建议立即升级至文档中心7.0.2405b、中台7.1.2405及以上版本，同时阻断相关接口未授权访问并轮换密钥。

2025-07-18 01:04:33 700

原创 PyPI仓库 iscc-flag 组件内嵌恶意木马

【高危】PyPI仓库iscc-flag（0.0.1版）及anku2-rce（0.0.1-0.0.2版）组件被植入恶意代码，安装后下载run.bat木马，窃取Windows系统敏感信息并远控。漏洞利用成本低、可能性中，建议立即排查移除受影响包，扫描系统异常进程与网络连接，重置敏感凭证，加强依赖管理，仅从官方源安装组件并定期审计依赖。

2025-07-17 01:16:06 220

原创 Node.js Windows下路径遍历漏洞

Node.js Windows路径遍历高危漏洞（CVE-2025-27210）存在于Windows系统下，攻击者可利用Windows保留设备名（如AUX、CON、PRN等）绕过path.join的路径遍历保护，通过构造特殊路径（如..\\..\\AUX\\..\\..\\target.txt）访问敏感文件。受影响版本包括Node.js 20.0-20.19.3、22.0-22.17.0、24.0-24.4.0。修复版本通过添加保留设备名黑名单处理，建议升级至20.19.4、22.17.1或24.4.1及以上

2025-07-17 00:41:48 312

原创 NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息

【高危】多个NPM组件（如@ivy-shared-components/iconslibrary、ado-codespaces-auth等）存在投毒风险，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响范围涉及多个特定版本包，利用成本低。建议立即移除受影响包，全面排查系统安全（如异常进程、敏感凭证），并加强依赖管理（限制版本范围、使用安全工具监控）。

2025-07-16 00:36:09 873

原创 Google Chrome V8＜ 13.6.86 类型混淆漏洞

Google Chrome V8引擎（<13.6.86）及Chrome浏览器（<136.0.7075.0）存在高危类型混淆漏洞。因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用已被GC修改的对象类型信息所致。攻击者可伪造ConsString对象触发越界写入，覆盖数组长度获取任意地址读写能力，最终实现RCE。修复版本移除LoopPeelingPhase及相关标志，建议升级V8至13.6.86+、Chrome至136.0.7075.0+。

2025-07-16 00:18:01 803

原创 Google Chrome V8＜ 13.6.86 类型混淆漏洞

Google Chrome V8引擎<13.6.86存在高危类型混淆漏洞，因Turboshaft编译器负载消除优化忽略内存分配触发GC的副作用，重用被GC修改的对象类型信息。攻击者可伪造长度错误的ConsString对象，在扁平化操作时触发越界写入，覆盖数组长度实现任意地址读写，最终导致RCE。影响V8<13.6.86、Chromium/Chrome<136.0.7075.0。修复需升级至对应版本，移除LoopPeelingPhase及相关标志。

2025-07-15 01:16:07 368

原创契约锁电子签章系统 pdfverifier 远程代码执行漏洞

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径，攻击者可构造含../的恶意压缩包，通过路径穿越写入WebShell。2025年5月6日发布的1.3.2补丁添加路径校验机制，拦截路径穿越符号。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]，利用成本低、可能性极高，存在POC。建议升级至1.3.2及以上补丁版本修复。

2025-07-14 01:17:18 541

原创 NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

NPM组件投毒漏洞（MPS-8htd-4bis）影响@blocks-shared/atom-panel等超70个包，安装后窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响版本含nbastatsleftnav [1.0.0,99.0.1]、casino2025 1.1.20等，多数无修复版本。利用成本低，建议立即排查卸载恶意包，删除node_modules及package-lock.json后重装依赖，扫描系统异常并重置敏感凭证，加强依赖管理。

2025-07-13 01:28:39 314

原创契约锁电子签章系统 pdfverifier 远程代码执行漏洞

契约锁电子签章系统pdfverifier接口存在高危远程代码执行漏洞。该接口处理OFD文件（ZIP格式）时未校验文件名路径合法性，攻击者可构造含../的恶意压缩包条目，解压时写入服务器任意路径，实现WebShell上传与远程代码执行。影响版本为[4.0.0,4.3.7]及[4.3.8,5.3.0]。2025年5月6日发布的1.3.2补丁引入路径校验机制，拦截含../的文件条目。漏洞利用成本低、可能性极高，存在POC，建议用户立即升级至1.3.2及以上安全补丁。

2025-07-13 00:54:28 356

原创 NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

NPM组件@blocks-shared/atom-panel等被投毒，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响nbastatsleftnav、ltiditest等多个组件，受影响版本范围广且无最小修复版本。漏洞利用成本低、可能性中，属高危风险。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，同时全面检查系统安全，重置敏感凭证。

2025-07-12 00:49:49 500

原创 NPM组件 @frontend-clients/wallet-web 等窃取主机敏感信息

NPM组件@frontend-clients/wallet-web等存在高危投毒漏洞，安装时会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。影响dependabot-ruleset-runner、yoomoney-github-landing等30余个组件特定版本，利用成本低，可能性中。建议立即排查并卸载受影响包，删除依赖文件后重装，全面检查系统安全，加强依赖管理规范。

2025-07-11 00:42:33 495

原创 Chrome拓展 Video Speed Controller 等内嵌恶意后门

【高危】多款Chrome拓展（含Video Speed Controller相关）被植入恶意后门，可窃取用户浏览链接，与攻击者C2服务器建立持久连接，并强制浏览器重定向至恶意网站。受影响拓展涉及多个ID版本（如eckokfcjbjbgjifpcbdmengnabecdakp≤1.0.11等），利用成本低，风险等级高。建议立即排查并移除受影响拓展，全面检查系统安全。

2025-07-10 01:08:16 862

原创泛微e-cology ＜ 10.76 前台SQL注入漏洞

泛微e-cology <10.76版本存在高危前台SQL注入漏洞。攻击者可未授权通过/api/doc/out/more/list接口注入恶意SQL至Redis，再经/api/ec/dev/table/counts接口执行，导致未授权SQL注入，可能进一步写入Webshell实现远程代码执行。影响版本为(-∞,10.76)，建议立即升级至10.76及以上版本。应急可通过WAF阻断涉事接口、加强参数校验、限制Redis访问缓解风险。

2025-07-10 01:05:54 532

原创 NPM组件 n8n-nodes-zalo-tools-vts 等窃取主机敏感信息

NPM组件n8n-nodes-zalo-tools-vts（0.0.1-0.0.6版本）及ass-frontend 1.0.0存在投毒风险，安装后会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。漏洞利用成本低，可能性中，属高危。建议立即排查并卸载受影响包，删除node_modules和package-lock.json后重装依赖，全面检查系统安全，加强依赖管理规范。

2025-07-08 00:21:31 288

原创 Redis hyperloglog 越界写入导致远程代码执行漏洞

CVE-2025-32023是Redis HyperLogLog组件的高危远程代码执行漏洞。由于解析稀疏编码数据时未验证操作码运行长度，导致整数溢出及堆越界写入。影响Redis 8.0.0-8.0.2、2.8-6.2.18、7.4.0-7.4.4、7.2.0-7.2.9版本，利用可能性高且存在POC。修复版本通过增加溢出检测标志位阻断越界操作，建议受影响用户升级至8.0.3+、6.2.19+、7.4.5+或7.2.10+，并限制服务访问来源。

2025-07-08 00:19:22 3014

原创 NPM组件包 json-cookie-csv 等窃取主机敏感信息

NPM组件包json-cookie-csv等存在高危投毒漏洞，安装受影响版本后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。涉及token-renewal、graphql-commons、canonical-bridge-ui等20余个组件的特定版本，目前无最小修复版本。利用成本低、可能性中，强烈建议立即排查并移除受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统安全，加强依赖管理，仅使用官方源并限制版本范围。

2025-07-07 00:28:21 503

原创泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology remarkOperate接口存在高危远程命令执行漏洞，源于/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未经验证直接拼接SQL语句，导致SQL注入。攻击者可利用该漏洞执行任意SQL，甚至通过写文件实现远程命令执行。影响范围覆盖全版本，建议立即对该接口实施访问控制、WAF拦截SQL注入特征，同时升级至官方修复版本并采用参数化查询修复根本问题。

2025-07-07 00:10:15 359

原创 NPM组件 querypilot 等窃取主机敏感信息

【高危】NPM组件querypilot等存在投毒风险，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。受影响组件包括@vapc-ui/font-icon、@indigo-mobile/material、querypilot等30余个，版本多为[1.0.0, 99.99.99]等大范围。利用成本低，可能性中。建议立即排查卸载受影响包，删除node_modules后重装依赖，全面检查系统安全，加强依赖管理（如限制版本范围、使用官方源）。

2025-07-06 01:42:05 599

原创泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞，因/api/workflow/reqform/remarkOperate接口的multipart类型参数requestid未校验直接拼接SQL，导致SQL注入。攻击者可执行任意SQL，甚至写文件实现远程命令执行，影响所有版本。建议立即限制接口访问、配置WAF过滤、验证参数输入，并通过官方渠道获取补丁修复。

2025-07-06 01:07:57 324

原创 NPM组件 nodemantle002 等窃取主机敏感信息

高危NPM组件投毒漏洞（MPS-qrk7-ayms）影响nodemantle002、lz-evm-sdk-v1等多个包，安装后窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本包括nodemantle002@2.3.1-6.2.1、definitelytyped-tools@1.0.0-99.99.98等。利用成本低，建议立即排查并卸载恶意包，删除node_modules后重装依赖，加强依赖管理（限制版本范围、使用官方源），用安全工具监控风险。

2025-07-05 01:03:16 565

原创泛微e-cology remarkOperate远程命令执行漏洞

泛微e-cology协同管理平台存在高危远程命令执行漏洞，因/api/workflow/reqform/remarkOperate接口的multipart类型requestid参数未校验，直接拼接进SQL语句导致SQL注入。攻击者可执行任意SQL，甚至通过写文件实现远程命令执行。所有版本均受影响，建议通过官方安全补丁修复，或临时用WAF拦截特殊字符、限制接口访问来源等应急措施。

2025-07-05 00:45:04 593

原创 NPM组件 alan-baileys 等窃取主机敏感信息

NPM多个组件（如alan-baileys、logflow-json等）被投毒，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。受影响版本涵盖alan-baileys@1.0.1、logflow-json@2.4.12等20余个包，利用成本低。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统异常，加强依赖管理（如限制版本范围、使用官方源）。

2025-07-03 01:37:30 824

原创深信服运维安全管理系统 netConfig/set_port 远程命令执行漏洞【POC已公开】

深信服运维安全管理系统存在严重远程命令执行漏洞（MPS-jnpc-w4hi），攻击者可绕过登录限制，通过未授权访问netConfig/set_port接口实现远程命令执行，获取系统权限。该漏洞POC已公开，利用成本低、可能性极高。影响版本为3.0.11_20231222之前的所有版本，最小修复版本为3.0.11_20231222。建议立即升级系统，同时可采取限制访问IP、防火墙拦截含接口关键字请求等应急措施。

2025-07-03 01:19:24 749

原创汉王e脸通综合管理平台 meetingFileManage.do 未授权SQL注入漏洞

汉王e脸通综合管理平台manage/meeting/meetingFileManage.do接口order字段存在未授权SQL注入漏洞。该设备用于门禁、考勤等场景，受影响版本广泛。漏洞利用成本低、可能性极高且有POC，攻击者可未授权执行SQL命令。排查可访问目标路径并测试order参数响应差异。建议立即限制接口访问、部署WAF过滤，根本修复需升级至修复版本并添加认证与参数校验。

2025-07-02 00:57:23 746

原创 NPM组件 betsson 等窃取主机敏感信息

NPM仓库多个组件（如betsson [1.0.0,99.99.2]、mod-cloud [1.0.6,1.1.3]、zenith-quest 1.0.1等）被植入恶意代码，安装后会窃取主机名、用户名、工作目录、IP地址等敏感信息并发送至攻击者服务器。利用成本低，影响范围广。建议立即排查并卸载受影响包，删除node_modules及package-lock.json后重装依赖，全面检查系统安全（如异常进程、境外IP通信），加强依赖管理（使用官方源、限制版本范围、定期审计）。

2025-07-01 00:58:34 993

原创 Dataease ＜2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

DataEase <2.10.11版本存在高危PostgreSQL数据源JDBC连接参数绕过漏洞（CVE-2025-53005）。因仅对JDBC连接字符串中socketFactory/socketFactoryArg参数黑名单限制，攻击者可通过sslfactory、sslfactoryarg等未限制参数绕过。影响io.dataease:core-backend及dataease组件，建议升级至2.10.11及以上版本，修复通过新增sslfactory、sslhostnameverifier等参数黑名单实现。

2025-07-01 00:24:34 507 1

原创 PyPI仓库 loggutils 组件内嵌恶意代码

PyPI仓库loggutils组件0.1.0版本内嵌恶意代码，属高危风险。安装后会窃取用户浏览器数据、剪贴板信息、系统文件，记录键盘输入并截取摄像头画面，同时实现远程控制。利用成本低，利用可能性中。建议立即排查是否安装该版本包，若已安装需彻底移除并扫描系统，检查异常进程与敏感信息泄露，加强依赖管理，仅从官方源安装组件并定期审计依赖安全。

2025-06-30 16:25:56 196

原创 Apache Seata ＜ 2.3.0 raft反序列化漏洞

Apache Seata <2.3.0存在高危反序列化漏洞（CVE-2025-32897），影响Seata Server [2.0.0, 2.3.0)版本。Raft模块CustomDeserializer未校验用户可控类名，直接通过Class.forName()加载，攻击者可利用服务端恶意链实现远程代码执行。修复版本2.3.0引入白名单机制，仅允许反序列化org.apache.seata包下类。建议受影响用户立即升级至2.3.0及以上版本，或限制Raft端口访问并启用IP白名单。

2025-06-30 16:23:25 349

原创总结过去三年软件供应链安全一些非共识核心问题

过去三年，我大概每年平均至少见300个企业的专家和大佬们，这三年下来也快1000人次了吧。虽然有一些人是重复见了很多次的，但每次见也多少会有新的收获。因为工作的原因，我们聊最多的话题其实是跟软件供应链安全相关的，所以我最近就特别想把过去我们这1000次交流过程中，聊到的最核心的问题都提炼出来，然后在今年的产品迭代、公众号、直播、闭门会议、对外技术交流分享中，把这些内容重点放进去。也是希望通过这样的方式，给所有准备做，或者正在做企业软件供应链安全的专家和大佬朋友们一些输入。

2025-03-19 16:40:19 873

原创探讨企业安全项目立项成功的关键

尤瓦尔·赫拉利在《人类简史》中说道：“讲故事”和“相信故事”的能力，是原始部落突破150人上限、展开大规模协作的前提。立项是什么？其实就是你在企业内部，把想做的事情以故事的形式，讲给企业管理者和同事们听，并且让他们相信这个故事，从而投入资源来帮助你实现你的故事。因为创业的缘故，平时和企业客户接触最多的一项工作，就是辅助企业安全专家大佬们，在内部申请立项。而且经常面对的是，来自各行业企业的客户的立项需求。虽然各家企业内部，立项的级别和项目内容，会有一些区别。但总体来说，立项流程。

2025-03-19 16:35:14 581

原创聊聊近期三大软件供应链安全威胁

从近期大量曝光的安全事件分析可以发现，开源组件的投毒攻击是目前黑灰产最常用的攻击手段，尤其是针对虚拟货币交易所，愈演愈烈，大概率是黑灰产尝到了开展这一类攻击的甜头，从我们实际的经验来看，针对开源组件的投毒攻击，对于所有企业来说，成功率要远远高于企业安全专家们的预期，实际上非常容易成功的。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括软件成分分析(SCA)、代码安全检测、开源组件许可证合规管理等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。

2025-03-19 16:32:19 434

原创作为创业者，DeepSeek爆火带来的七点启示

但从结果上来说，想要在全球范围内带来持久的影响力，必须要有真东西，必须要经得起用户的检验，必须要货真价实的为用户创造实在的价值，才有可能持续带来真正的正面影响力，不然都是泡沫和昙花一现。DeepSeek这个事情对我们的触动是非常之大的，甚至我都开始认为DeepSeek这一代的企业和企业家们，未来可能会用新的企业经营模式，给中国在全球激烈的竞争中赢得更大的影响力。一个是因为没有足够的卡和足够的钱，所以DeepSeek只能找一堆有理想的年轻人在一起埋头搞研发，搞创新，最后搞成了。

2025-03-19 16:18:15 1216

原创从2024年十大热门安全初创公司看行业趋势

最近经常跟负责企业安全的朋友们，讨论2025年企业安全有什么新的业务方向。刚好这两天看到，海外知名IT媒体CRN发出的一篇《2024 年 10 家最热门的网络安全初创公司》文章。所以花了一下午的时间，研究了一下这些公司正在做的安全方向，以及他们产品的一些主打特性。我想，这从某种程度，也代表着行业的最新方向和趋势。所以趁着年底，我把自己看完之后的思考和分析写下来，跟朋友们分享一下，希望能给大家带来一些帮助，也欢迎大家一起交流。Cyera是一家成立于2021年的数据安全公司，总部位于美国纽约。

2025-03-19 16:12:33 735

原创墨菲安全创始人章华鹏：老白帽创业三年，向死而生

两年多以前我刚开始创业时，写了一篇《白帽十年，再出发，愿归来仍是少年》的文章，分享了我这个搞了十年安全研究和企业安全建设的老白帽，为什么选择创业的心路历程。一晃两年多过去了，当写下这行文字的时候，正是2024年11月19日，按工商登记时间来算，我们创办墨菲安全这家企业刚好三周年。这三年对于我们来说，经历了太多太多跌宕起伏。2021年9月从大厂安全负责人岗位上毅然离职，和团队的几个伙伴充满激情、义无反顾的冲上创业这条路。

2025-03-19 16:06:16 697

原创墨菲安全出席蚂蚁举办的切面会客厅，以供应链视角推动企业软件安全架构升级

切面服务收到任务后，结合漏洞修复信息，对存在漏洞的服务进行一键统一漏洞修复，完成整个漏洞事件的闭环。墨菲安全可以结合漏洞数据，将开源组件漏洞触发函数作为切点注入，当应用运行时，便可获取漏洞触发函数的调用栈信息，进而识别触发函数调用上下文信息，判断是否存在漏洞可达性路径，最终可以过滤掉95%左右的不可触发漏洞。安全切面技术能力的应用，就可以帮助运营人员在实际操作中，全量或下发特定的组件及风险识别任务，识别组件，并识别是否存在真实风险，以及风险资产对应的系统情况，进一步进行风险处置。

2025-03-19 15:32:49 1078

原创墨菲安全荣获“华为网络安全应急响应协同奖”

在过去一年中，墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作，展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。，该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险，提供有效协作，并做出贡献的行业安全团队。贯众覆盖超6w+主流组件，并已全球首发多个0day预警，漏洞预警已达分钟级，从容应对安全风险。

2025-03-19 15:18:51 233

原创墨菲安全入选首批“切面联盟技术合作伙伴计划”

墨菲安全作为安全平行切面联盟成员，凭借“基于切面技术的软件供应链安全”产品特色和创新实践，入选首批“切面联盟技术合作伙伴计划”，成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。

2024-08-14 15:36:56 1468

原创 24000字企业开源安全治理最佳实践发布

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持，当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。

2024-04-30 10:27:38 1036

原创差点引爆全球的核弹，深度分析XZ-Utils供应链后门投毒事件

wp:quote处心积虑的投毒者蛰伏三年多，精心选择对象，通过复杂的攻击手法、专业的技战术，一步步支起一张大网，企图掌控全球主流linux发行版，一旦成功他将可以随意侵入全球绝大多数的服务器，这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽，事件被及早发现，没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性，本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件，应该加强企业自身的供应链安全体系建设，才能当危机来临时应对自如。/wp:quote。

2024-04-01 18:01:23 3950

空空如也

空空如也