1、漏洞概述
近日,Vite 官方披露了一个中高风险安全漏洞(CVE-2025-29927),攻击者可以利用该漏洞读取服务器敏感文件,建议您及时开展安全风险自查。
Vite 是一个现代的前端构建工具,旨在提高开发效率。它由 Vue.js 的作者尤雨溪及其团队开发,并于2021年发布。Vite 的核心设计理念是利用现代浏览器对 ES 模块(ESM)的支持,提供了一个更快、更轻量级的开发服务器以及高效的构建流程。
据描述,Vite 在版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在一个安全漏洞。该漏洞与 @fs 模块有关,它原本用于限制对 Vite 服务允许列表之外文件的访问。然而,通过在 URL 后添加 “?raw??” 或 “?import&raw??”,可以绕过这一限制并返回文件内容(如果文件存在的话)。这是因为尾部的分隔符如 “?” 在多个地方被移除,但没有在查询字符串的正则表达式中考虑到这种情况。这导致任意文件的内容可能会被返回到浏览器中。
需要注意的是,只有那些明确将 Vite 开发服务器暴露在网络中的应用(即使用了 --host 参数或 server.host 配置选项的应用)才会受到影响。此问题已在版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 中得到修复。
漏洞影响的产品和版本:
Vite >=6.2.0, <=6.2.2
>=6.1.0, <=6.1.1
>=6.0.0, <=6.0.11
>=5.0.0, <=5.4.14
<=4.5.9
2、漏洞复现
3、资产测绘
据daydaymap数据显示互联网存在33,652个资产,国内风险资产分布情况如下:
4、解决方案
临时缓解方案:
部署针对项目的监控系统:阻止包含“@fs” 或 “?import&raw??” 的外部用户请求到达您的应用程序。
升级修复:
目前官方已发布修复安全补丁
5、参考链接
1、漏洞概述
近日,SAML-Toolkits 发布ruby-saml修复了严重身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292)。已知受影响的产品有GitLab,其社区版 (CE) 和企业版 (EE) 推出了新的 17.9.2、17.8.5 和 17.7.7 版本,以修补一系列安全漏洞。为避免您的业务受影响,建议您及时开展安全风险自查。
ruby-saml 是一个 Ruby 语言开发的库,用于支持 SAML(安全断言标记语言) 身份验证,使应用程序能够与身份提供者(Identity Provider)进行安全通信。该库广泛应用于 Web 应用程序中,以实现单点登录(SSO)功能。其核心功能包括解析 SAML 断言(SAML assertions)和验证数字签名,以确保身份验证流程的安全性。
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。Gitlab是被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理。
然而,ruby-saml库和使用该库的GitLab产品存在可导致身份验证绕过(Authentication Bypass)的漏洞(CVE-2025-25291、CVE-2025-25292),可能严重威胁依赖该库的应用程序的安全。
据描述,这些漏洞的根本原因在于 ReXML 和 Nokogiri 解析 XML 的方式,这可能导致同一 XML 输入的文档结构不同。这种差异使签名包装攻击成为可能,从而可能导致身份验证绕过。
漏洞影响的产品和版本:
Ruby-saml< 1.12.4
Ruby-saml >= 1.13.0, < 1.18.0
GitLab 17.9.2 之前的 17.9 版本、17.8.5 之前的 17.8 版本,以及 17.7.7 之前的 17.7 版本。
2、资产测绘
据daydaymap数据显示互联网存在2,583,285个资产,国内风险资产分布情况如下:
3、解决方案
1、临时缓解措施
①在 SAML SSO 身份验证的基础上,增加额外的身份验证步骤,如二次验证、短信验证码等,提高账户安全性;
②禁用 SAML 双重认证绕过:在 GitLab 设置中禁用 SAML 双重认证绕过选项。
2、升级修复
①Gitlab立即升级:所有受影响的 GitLab 实例应尽快升级到最新的安全版本(17.9.2、17.8.5 或 17.7.7);
②ruby-saml库升级到安全版本:1.12.4或1.18.0。
4、参考链接
随着全球AI技术的迅猛发展,大模型技术逐渐渗透到各行各业。从ChatGPT引领的AI革命,到Sora重塑内容生产方式,再到DeepSeek开年之际的技术突破,各大厂商纷纷加入大模型的快速迭代进程,推动着这一领域的持续创新。
然而,随着大模型技术的应用普及,数据隐私问题也愈加突出:用户对话被恶意爬取、企业核心数据泄露、跨国数据传输遭遇黑产攻击……在享受技术创新带来便利的同时,如何保障数据安全已经成为无法回避的重要议题。
大模型面临的隐私、安全与信任挑战
在大模型训练过程中,海量数据被广泛应用,其中可能涵盖个人健康信息、财务数据、地理位置及企业敏感信息等。一旦发生泄露,不仅会引发严重的隐私风险和财产损失,还可能损害品牌声誉。尤其是在医疗、金融等行业,数据泄露的影响不止经济损失,还可能引发信任危机。
(图片来源于光明网)
数据泄露风险在数据传输环节尤为明显
在大模型的使用过程中,用户通过网络将数据传输到云端服务器进行处理,由于数据传输依赖公有网络,信息在传输过程中可能遭到黑客攻击和窃取。尽管开源模型可实现本地部署,但由于本地设备的性能限制,实际应用中仍需依赖第三方平台。数据上传过程中,如何保障数据的安全成为关键问题。
数据链路层加密解决方案,守护大模型应用中的数据传输安全
与传统的IPSec VPN、SSL VPN等加密方式不同,盛邦安全数据链路层加密解决方案通过硬件嵌入式系统实现超低延迟的信息加密传输,保障各系统节点、异地机构之间的数据传输安全;采用国家商用密码算法,在链路层对数据包进行加密和认证保护,避免增加网络节点或配置IP,可实现即插即用。
硬件平台采用CPU+MCU+FPGA架构,MCU负责密钥管理和非对称密码算法服务,FPGA实现数据加解密,CPU负责控制平面,处理平面和控制管理平面的分离设计,可靠性更强、性能更高;链路加密产品加密传输性能已经达到100Gbps,延迟在20us以内。并支持点到点、点到多点的多链路复杂网络环境部署,同时具备密钥和策略的集中管理功能,可实现密钥的自动生成、分发、更换和应急销毁等操作,有效防范伪冒身份非法接入网络信道,以及通过流量劫持、重放攻击等手段导致的数据泄露风险。
盛邦安全数据链路层加密解决方案,帮助用户在享受高效、快捷的大模型应用的同时,无需担心输入的隐私数据在上传过程中被窃取或被篡改,在保障AI新技术带来的良好体验的基础上为用户隐私和数据安全保驾护航。
Deepfakes are a type of synthetic media created using AI and machine learning. In simple terms, they produce videos, images, audio, or text that look and sound real, even though the events depicted never actually happened. These altered clips spread across social media, messaging apps, and video-sharing platforms, blurring the line between reality and fiction. The term “deepfake” was coined in 2017 when a Reddit user created a subreddit with that name. This subreddit was … More →
The post How to recognize and prevent deepfake scams appeared first on Help Net Security.