[閒聊] 資安雙週報 250501
==== 資安雙週報 (250501) ====
本來想放假 想想還是發個文好了
- 有潛力的 IoT BOT CVE
- 到底要不要聽官方建議
- 滿分十分!
- 你的檔案就是我的檔案
## ======== 有潛力的 IoT BOT CVE ======== ##
根據業者發現[0] FastCGI 存在一個可 RCE 的安全性漏洞 (CVE-2025-23016)
原因是不正確的參數 (FCGX_Stream) 處理 導致 stackoverflow
有機會控制其他資料結構 進而執行任意指令 CVSS3 分數為 9.3
此函式庫大量使用在資源受限的輕量服務
在未啟用 PIE 情況下 業者的 PoC 可以獲得 remote shell
## ======== 到底要不要聽官方建議 ======== ##
研究人員發現[1] 知名 Python 套件 PyTorch 存在 RCE 漏洞 (CVE-2025-32434)
當 weights_only=True 啟用時 使用 `torch.load` 有機會造成 RCE
但在官方正式文件中 建議使用 上述兩個 配置來提升安全性
## ======== 滿分十分! ======== ##
研究人員發現[2] Erlang/OTP 存在一個 CVSS3 10 分的安全性漏洞 (CVE-2025-32433)
所有安裝問題版本的使用者 皆受到漏洞的影響
問題本身讓攻擊者不授權的情況下可以執行任意指令
## ======== 你的檔案就是我的檔案 ======== ##
知名 NAS 業者的安全性公告[3] 系統中的存在一個可任意讀的安全性漏洞(CVE-2025-1021)
當 NFS 設定不當時 元件 synocopy 可以讓攻擊者讀取任意檔案
[0]: https://401.tw/TYA9
[1]: https://github.com/pytorch/pytorch/security/advisories/GHSA-53q9-r3pm-6pq6
[2]: https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2
[3]: https://www.synology.com/zh-tw/security/advisory/Synology_SA_25_03
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.164.16.219 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1746063809.A.9E2.html
推
05/01 15:04,
5小時前
, 1F
05/01 15:04, 1F
推
05/01 17:27,
2小時前
, 2F
05/01 17:27, 2F
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章
10
17