「2025年10月26日」新增「13」条情报信息，其中

• 开源软件情报「7」条
• 商业软件情报「0」条
• 投毒情报「6」条

开源软件情报

CVE-2025-12221 漏洞

漏洞评级： 低危，2.1
修复建议： 可选修复
POC情况： 暂无POC
漏洞描述： Busybox 1.31.1存在多个已知漏洞。此问题影响BLUTerra的IndustrialCraft 2（IC2）版本至多至 1.19.5 以及 IndustrialCraft 4（IC4）版本至多至 1.19.5。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-2rdc-ozf5

CVE-2025-12217漏洞

漏洞评级： 中危，6.9
修复建议： 可选修复
POC情况： 暂无POC
漏洞描述： SNMP默认社区字符串（public）存在漏洞。此漏洞影响版本为至 1.19.5 的 BLU-IC2 和 BLU-IC4。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-qvbt-7e9m

CVE-2025-12218漏洞

漏洞评级： 严重，10
修复建议： 建议修复
POC情况： 暂无POC
漏洞描述： 弱默认凭据问题影响到了BLU-IC2和BLU-IC4的最新版本，即版本号为1.19.5的设备。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-m1kh-qnab

CVE-2025-12220漏洞

漏洞评级： 严重，10
修复建议： 建议修复
POC情况： 暂无POC
漏洞描述： Busybox 1.31.1存在多个已知漏洞。此问题影响BLUTerra的IndustrialCraft 2（IC2）版本至多至 1.19.5 以及 IndustrialCraft 4（IC4）版本至多至 1.19.5。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-jqoz-0b6l

CVE-2025-12219漏洞

漏洞评级： 严重，10
修复建议： 建议修复
POC情况： 暂无POC
漏洞描述： Azure操作系统中的漏洞组件。此问题影响BLUI C2版本至1.19.5和BLUI C4版本至1.19.5。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-w409-3jmp

CVE-2025-12216漏洞

漏洞评级： 严重，10
修复建议： 建议修复
POC情况： 暂无POC
漏洞描述： 恶意/恶意篡改的应用程序可以被安装但不能卸载，可能导致无法使用。此问题影响BLU-IC2版本至1.19.5和BLU-IC4版本至1.19.5。
影响范围： BLU-IC2，(0,1.19.5]
BLU-IC4，(0,1.19.5]
参考链接： https://www.oscs1024.com/hd/MPS-koge-xcb8

CVE-2025-8709 漏洞

漏洞评级： 高危，7.3
修复建议： 建议修复
POC情况： 暂无POC
漏洞描述： langchain-ai/langchain存储库中存在一个SQL注入漏洞，具体存在于LangGraph的SQLite存储实现中。受影响版本为langgraph-checkpoint-sqlite 2.0.1 1。该漏洞源于处理过滤器运算符（$eq、$ne、$gt、$lt、$gte、$lte）不当，使用了直接的字符串拼接而没有进行适当的参数化。这使得攻击者能够注入任意SQL代码，从而导致未经授权的访问所有文档、泄露敏感字段（如密码和API密钥）的数据，并绕过应用程序级别的安全过滤器。
影响范围： langchain-ai/langchain，影响所有版本
参考链接： https://www.oscs1024.com/hd/MPS-wnuk-7jy2

投毒情报

NPM组件 realtime-twilio 等窃取主机敏感信息

漏洞描述： 当用户安装受影响版本的 realtime-twilio 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。
影响范围： realtime-twilio，[99.6.0,99.6.0]

PyPI仓库 yulk 组件存在后门风险

漏洞描述： 受影响版本的 yulk Python组件包时会从攻击者可控的服务器地址拉取攻击者可控的 ce.parquet 文件，并在本地创建 DuckDB 视图，攻击者可创建恶意的 ce.parquet 文件远程执行任意代码。
影响范围： yulk，[0.0.36,0.0.36]

NPM组件 bad-santa-claude 等窃取主机敏感信息

漏洞描述： 当用户安装受影响版本的 bad-santa-claude 组件包时会窃取用户的主机名、用户名、操作系统类型、当前工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
影响范围： bad-santa-claude，[1.3.0,1.3.0]、[1.4.0,1.4.0]、[1.5.0,1.5.0]

PyPI仓库 ethaddrlib 组件窃取用户敏感信息

漏洞描述： 当用户安装受影响版本的 ethaddrlib Python组件包时会窃取用户虚拟钱包助记词并发送到攻击者可控的服务器地址。
影响范围： ethaddrlib，[0.1.0,0.1.1]
hexdecli，[0.0.1,0.0.2]
hexdecpy，[0.0.1,0.0.2]

NPM组件 coreipc 等窃取主机敏感信息

漏洞描述： 当用户安装受影响版本的 coreipc 等NPM组件包时会窃取用户的主机名、用户名、操作系统类型、当前工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
影响范围： coreipc，[2.0.0,2.0.0]
faustjs-org-sitemm2，[1.0.0,1.0.0]
orderbook-backend，[1337.1.0,1337.1.0]
orderbook-sdk，[1337.1.0,1337.1.0]
paysera-loading-spinner，[1.0.0,1.0.0]
rce-poc-test-honor-dev，[1.0.0,2.0.0]
vue-sfc-require-hook，[999.999.997,999.999.999]、[999.999.1002,999.999.1002]、[999.999.1003,999.999.1003]

NPM组件 realtime-next 等窃取主机敏感信息

漏洞描述： 当用户安装受影响版本的 realtime-next 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
影响范围： realtime-next，[1.0.0,1.0.0]