赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

MCP Inspector 未授权访问致代码执行漏洞(CVE-2025-49596)

北京赛克艾威科技有限公司

2025-06-14

MCP Inspector是用于测试和调试MCP服务器的开发人员工具。CVE\-2025\-49596 中,在存在未授权访问的情况下,攻击者可构造恶意请求执行任意命令,控制服务器。

Windows SMB 客户端权限提升漏洞(CVE-2025-33073)

北京赛克艾威科技有限公司

2025-06-16

该漏洞允许远程攻击者未经授权访问原本受限制的功能。该漏洞是由于 Windows SMB 客户端的访问限制不当造成的。远程用户可以绕过已实施的安全限制,获得系统权限提升。

GeoServer TestWFSpost SSRF 漏洞(CVE-2024-29198)

北京赛克艾威科技有限公司

2025-06-10

GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS\-T和WMS服务器。CVE\-2024\-29198 中,攻击者可构造恶意请求,利用SSRF扫描内网,获取相关敏感信息。

契约锁电子签章系统远程代码执行漏洞

北京赛克艾威科技有限公司

2025-06-11

契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。 受影响版本中,契约锁后台管理系统的/api/setup/dbtest 接口存在未授权JDBC可控注入风险。攻击者可利用该接口,根据系统中存在的 JDBC 驱动版本,构造恶意的 JDBC 连接字符串,进而实现攻击行为。(如通过可控的 PostgreSQL JDBC 字符串,攻击者可能实现任意文件写入或远程代码执行;而利用可控的 MySQL JDBC 字符串,则可能导致远程代码执行或任意文件读取。) 修复版本中通过检测系统是否已完成安装流程来限制访问权限,一旦安装流程完成,用户将无法再访问 /api/setup/dbtest 接口。

GeoServer XXE 漏洞

北京赛克艾威科技有限公司

2025-06-12

XXE漏洞,即XML外部实体注入漏洞,是由于应用程序处理XML输入时,未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据,导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。