美国网络安全与基础设施安全局(CISA)已将两个新漏洞——Gladinet CentreStack和Triofox中的CVE-2025-11371,以及Control Web Panel(CWP)中的CVE-2025-48703——添加至其已知被利用漏洞(KEV)目录,原因是有证据表明这两个漏洞已在野外被主动利用。
CVE-2025-11371:Gladinet CentreStack和Triofox的本地文件包含漏洞
第一个漏洞CVE-2025-11371(CVSS评分7.5)影响Gladinet CentreStack和Triofox——这两款为混合云环境设计的企业文件共享平台。在软件的默认安装和配置中,一个本地文件包含(LFI)缺陷允许未经身份验证的攻击者访问敏感系统文件,包括配置数据。
安全公司Huntress上月首次报告了该漏洞的主动利用情况,警告攻击者正在通过以下方式获取Web.config 文件、提取机器密钥,并结合已知的ViewState反序列化漏洞实现远程代码执行(RCE):
利用链流程:
- 阶段1:本地文件包含:威胁 actor 利用LFI漏洞读取系统任意文件。
- 阶段2:密钥提取:获取应用配置文件中嵌入的machineKey。
- 阶段3:载荷序列化:使用该密钥构造有效的ViewState载荷以绕过身份验证。
- 阶段4:远程代码执行:恶意ViewState载荷以应用权限在服务器上执行任意命令。
这一多阶段攻击凸显了企业Web应用中不安全默认配置的危险性——尤其是当加密密钥和反序列化机制暴露给未认证用户时。
CVE-2025-48703:CWP的未授权远程命令执行漏洞
第二个被主动利用的漏洞CVE-2025-48703(CVSS评分9.0)影响CWP(Control Web Panel,前称CentOS Web Panel)——一款流行的虚拟主机控制面板。
该漏洞源于身份验证检查不当与输入参数未 sanitize 的组合,导致未授权远程命令执行。
具体而言,0.9.8.1205之前版本的CWP允许攻击者通过文件管理器的changePerm请求中t_total参数的shell元字符注入实现未授权远程代码执行,但需已知一个有效的非root用户名。
攻击流程:
攻击者首先绕过CWP界面(通常运行在2083端口)的身份验证,直接向文件管理端点发送构造的HTTP POST请求。
身份验证绕过成功后,攻击者通过t_total参数注入shell命令——该参数原本用于定义数字文件权限(如644)。由于输入未经过滤,后端会解析任意shell元字符,使攻击者能够以用户上下文权限在底层操作系统上执行命令。
这导致攻击者获得用户上下文权限的完整命令执行能力,通常足以建立反向shell或窃取敏感文件。
该漏洞于2025年5月13日被负责任披露,并在6月发布的0.9.8.1205版本中修复。
CISA警告称,这些漏洞“对联邦企业构成重大风险”,并命令所有联邦民事行政部门(FCEB)机构在2025年11月25日前修补受影响系统,以缓解持续的攻击。
修复建议:
- 立即将Gladinet CentreStack和Triofox升级至修复后的版本,并禁用默认配置中的危险功能。
- 将CWP升级至0.9.8.1205及以上版本,并限制对2083端口的访问。
- 对所有面向互联网的服务实施网络分段和身份验证强制策略。
发表评论
您还未登录,请先登录。
登录