聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,CISA督促组织机构紧急修复Gladinet CentreStack 和微软 Windows 中的两个0day 漏洞。
CVE-2025-30406(CVSS评分9)是 Gladient 公司在4月3日公布的一个 CentreStack 漏洞。该公司提到,漏洞自3月起就遭利用,不过目前似乎并没有相关公开信息。
该漏洞影响CentreStack用于 ViewState 完整性验证的方式,可导致攻击者伪造数据并远程执行任意代码。Gladient 公司在安全公告中提到,“该应用使用 IIS web 配置文件中的一个硬编码或保护不当的、用于保护 ASP.NET ViewState 数据的machineKey。如攻击者获取或预测该 machineKey,则可伪造 ViewState payload,通过完整性检查。”
Gladient 公司解释称,在一些配置中,可发动ViewState 反序列化攻击,可导致在该 web 服务器上远程执行代码。该公司在 CentreStack 16.4.10315.56368版本中修复了该漏洞,督促组织机构立即更新或修改 machineKey 的值作为暂时措施。该公司表示,“最新版本会在安装过程中自动生成新的机器密钥,从而增强系统的安全性。”
Windows 中的漏洞CVE-2025-29824(CVSS评分7.8)是位于该平台 CLFS 驱动中的释放后使用 (UAF) 漏洞,可用于本地提权。微软已在4月补丁星期二中修复了该漏洞,并提醒称已发现位于美国、委内瑞拉、西班牙和沙特阿拉伯的组织机构遭该漏洞利用攻击,而用于勒索攻击中的 PipeMagic 恶意软件被用于部署利用。
本周二,CISA将这两个漏洞添加到了必修清单 (KEV),督促联邦机构按照BOD22-01规定,在4月29日之前修复和缓解。尽管该指令仅适用于联邦机构,但建议所有组织机构都查看该必修清单,识别环境中的受影响应用和设备,并立即修复。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
EncryptHub 的双重生活:一面网络犯罪分子,一面 Windows 赏金猎人
原文链接
https://www.securityweek.com/cisa-urges-urgent-patching-for-exploited-centrestack-windows-zero-days/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1280
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
