每日安全动态推送(25/4/25)

文章预览

•  Zyxel uOS中的本地权限提升漏洞 https://seclists.org/fulldisclosure/2025/Apr/27 本文揭示了Zyxel uOS操作系统中的本地权限提升漏洞，严重程度高，CVSS评分为7.8。这一发现对于了解和修复Zyxel USG FLEX H系列产品的安全问题具有重要意义。 •  BusyBox tar和cpio工具中的终端转义及目录遍历漏洞 https://sectoday.tencent.com/event/kjYaZ5YB9AokBISl2cjZ 本文分析了BusyBox的tar和cpio工具中存在的终端转义漏洞和目录遍历漏洞（CVE-2023-39810）。这些漏洞允许恶意文件通过包含未转义的终端转义序列来掩盖或修改归档文件中的内容，并允许攻击者通过路径遍历执行恶意操作。文章还探讨了补丁过程中使用realpath(3)函数的潜在问题，包括其竞态条件和在Linux系统上可能被滥用的风险。最终，BusyBox团队采用了更安全的补丁方案，通过strip_unsafe_prefix函数有效防止路径遍历攻击。 •  MCP服务器如 ………………………………