文章总结： 本期推送涵盖GnuPG关键漏洞、Systemd隔离失效及XSpeeder0-Day等严重事件；MongoDB内存泄露与TrustWallet供应链攻击威胁数据资产。此外涉及蓝牙劫持、气隙系统攻击及LangChainRCE风险，并关注LLM越狱与人形机器人安全研究。建议紧急修复漏洞并加强供应链审计。 综合评分： 83 文章分类： 漏洞预警,威胁情报,数据泄露,供应链安全

每日安全动态推送(25/12/31)

原创

admin

腾讯玄武实验室

2025年12月31日 15:14 北京

•  GnuPG 多重关键漏洞事件 https://sectoday.tencent.com/event/05UMapsBvMLTtVn_Hifm

近期，GnuPG 被发现存在多个关键安全漏洞，涉及签名验证绕过、明文恢复、内存损坏、路径遍历和远程代码执行等问题。这些漏洞主要源于 OpenPGP 协议实现中的解析逻辑缺陷和规范模糊性，而非密码算法本身的安全性问题。其中包括一个被标识为 CVE-2025-68973 的远程代码执行漏洞，可能允许攻击者在目标系统上执行任意代码。漏洞影响范围广泛，涉及 GnuPG 2.5.13 和 2.5.14 等版本。部分漏洞已被修复，但仍有若干问题未完全解决。GnuPG 开发者正在通过 oss-sec 邮件列表进行讨论，并提出了改进设计和替代方案的建议，例如简化签名流程或采用 Sequoia 等替代工具。此事件引发了对 GnuPG 在自动化系统和软件更新工具中安全性的严重担忧，并推动了密码学软件开发中对代码复杂性和规范清晰性的重新审视。

•  Systemd vsock sshd 自动启动安全漏洞 https://sectoday.tencent.com/event/5sWfbJsBQreNZx83M3Zs

在 systemd v256 及以上版本中，当 openssh-server 包安装在支持 vsock 的虚拟机中时，systemd 会自动在全局网络命名空间中启动一个 af_vsock 套接字的 sshd 监听器。这一行为可能导致容器或沙箱中的恶意代码绕过网络隔离，访问主机 SSH 守护进程，并实现横向移动，带来严重的安全风险。vsock 提供了一个难以审计的通信通道，可能被现有威胁利用。该问题引发了 Linux 安全社区的广泛讨论，包括 oss-sec 邮件列表中的漏洞披露计划。为缓解此风险，建议通过内核命令行参数 systemd.ssh\_auto=no 禁用自动启动行为，并对现有安全框架如 AppArmor 和 SELinux 的局限性进行评估。

•  XSpeeder SXZOS 固件中发现严重 0-Day RCE 漏洞，全球 7 万余设备暴露 https://cybersecuritynews.com/0-day-rce-vulnerability-in-networking-devices/

本文揭示了一个影响全球数十万台边缘设备的高危零日漏洞（CVE-2025-54322），首次通过自主固件分析和多代理技术发现，并展示了无需认证即可通过单个HTTP请求实现远程代码执行的攻击链，技术细节详实，对工业与企业安全具有重要警示意义。

•  空气隔离设备面临无线信号攻击：嵌入式硬件可被用作接收器 https://www.helpnetsecurity.com/2025/12/30/air-gapped-embedded-devices-wireless-infiltration/

本文揭示了即使没有无线模块或传感器，嵌入式设备仍可能通过电路板本身接收无线信号，从而成为攻击的入口。这一发现挑战了传统对空气隔离系统的安全认知，为网络安全防护提供了新的研究方向。

•  持续模糊测试中的‘漏网之鱼’：深入解析OSS-Fuzz的局限性 https://github.blog/security/vulnerability-research/bugs-that-survive-the-heat-of-continuous-fuzzing/

本文深入剖析了即便在持续模糊测试（fuzzing）多年的开源项目中，仍然可能存在未被发现的严重漏洞的原因，揭示了模糊测试并非万能，仍需人工监督和改进测试覆盖率。文章通过GStreamer、Poppler和Exiv2三个案例，展示了模糊测试在现实中的局限性，对安全研究人员和开发者具有重要参考价值。

•  耳机劫持：蓝牙耳机中的Airoha RACE关键漏洞可被用于劫持智能手机 https://securityonline.info/headphone-jacking-critical-flaws-in-popular-earbuds-let-hackers-hijack-your-phone/

本文揭示了蓝牙耳机芯片中未受保护的诊断协议（RACE）可能导致用户隐私泄露及手机被劫持的重大安全隐患，为当前流行的真无线耳机设备敲响了警钟。

•  CVE-2025-37803分析：Linux内核udmabuf组件缓冲区大小溢出漏洞 https://www.wiz.io/vulnerability-database/cve/cve-2025-37803

本文深入分析了Linux内核中的CVE-2025-37803漏洞，详细描述了漏洞的技术细节、影响范围及修复方案，为读者提供了及时且实用的安全更新信息。

•  Unitree人形机器人安全漏洞：全面攻击面分析与远程入侵技术研究 https://events.ccc.de/congress/2025/hub/en/event/detail/skynet-starter-kit-from-embodied-ai-jailbreak-to-remote-takeover-of-humanoid-robots

本文深入剖析了Unitree人形机器人的完整攻击面，并展示了如何通过硬件接口、无线通信和云端服务漏洞实现远程完全控制。其最大亮点在于揭示了通过一句话指令即可突破设备上的大模型代理，进而获得最高权限，具有极强的技术创新性和警示意义。

•  WebKit/iOS 26.2：基于整数溢出的Gigacage边界违规导致越界访问 https://seclists.org/oss-sec/2025/q4/292

本文详细披露了WebKit JavaScript引擎中的一个整数溢出漏洞，可通过越界写入绕过Gigacage防护机制，具有远程代码执行的潜在风险。文章提供了完整的PoC和环境信息，是iOS安全研究的重要参考。

•  AutoAdv：面向大型语言模型的多轮越狱攻击自动化对抗提示方法 https://arxiv.org/abs/2507.01020

本文提出了AutoAdv框架，通过自动化生成对抗性提示词，系统性地测试和揭示了大型语言模型在多轮对话中的安全漏洞，其高达86%的攻击成功率揭示了当前安全机制的严重缺陷，具有重要的研究和警示价值。

•  MongoBleed 内存泄露漏洞 https://sectoday.tencent.com/event/LZOsXpsBvMLTtVn_cfjC

MongoBleed（CVE-2025-14847）是一个影响 MongoDB 的严重未认证内存泄露漏洞，攻击者无需身份验证即可远程读取服务器内存中的敏感数据，包括凭证、API 密钥和系统日志。该漏洞源于 MongoDB 在处理 zlib 压缩数据时的逻辑错误，允许攻击者通过构造恶意数据包提取未初始化的堆内存。漏洞已在全球范围内被积极利用，影响超过 87,000 个暴露的 MongoDB 实例。PoC 利用代码和检测工具已公开发布，MongoDB 也已发布修复补丁。美国网络安全与基础设施安全局（CISA）已将该漏洞加入已知被利用漏洞（KEV）目录，并要求受影响系统尽快修复。

•  LangChain ‘lc’ 漏洞事件 https://sectoday.tencent.com/event/aDqIX5sBzXSmEGIITIqI

LangChain 核心库中发现一个严重漏洞（CVE-2025-68664），攻击者可利用序列化注入窃取敏感环境变量并执行恶意代码。该漏洞源于对包含保留 ‘lc’ 键的用户控制字典处理不当，允许恶意反序列化操作，进而导致敏感信息泄露和潜在的远程代码执行。该漏洞影响多个版本的 LangChain，CVSS 评分为 9.3，已被命名为 LangGrinch。官方已发布修复版本 0.3.81 和 1.2.5，并建议用户升级以避免风险。此次漏洞事件凸显了 AI 框架在安全设计上的薄弱环节，尤其是在反序列化机制和默认设置方面。

•  Trust Wallet Chrome扩展供应链攻击事件 https://sectoday.tencent.com/event/5TrTY5sBzXSmEGIInLBS

2025年12月24日，Trust Wallet Chrome扩展程序遭到恶意更新攻击，导致约700万美元加密资产被盗。攻击者通过泄露的Chrome Web Store API密钥发布恶意v2.68版本，将用户助记词（mnemonic）泄露至攻击者控制的服务器api.metrics-trustwallet.com。恶意代码伪装成PostHog分析工具，借此绕过安全检测。此外，攻击者还部署钓鱼域名如fix-trustwallet.com，进一步骗取用户凭证。Trust Wallet确认事件后，立即发布修复版本v2.69，并承诺全额赔偿受害者。此次事件凸显了加密货币行业在供应链安全、凭证管理和浏览器扩展部署中的重大漏洞。

•  蓝牙耳机劫持：Airoha RACE漏洞技术细节全披露 https://insinuator.net/2025/12/bluetooth-headphone-jacking-full-disclosure-of-airoha-race-vulnerabilities/

本文深入分析了基于Airoha蓝牙芯片的耳机和耳塞中的多个关键漏洞（CVE-2025-20700至CVE-2025-20702），并发布了一个开源工具RACE Toolkit，帮助研究人员和用户检测设备是否受影响。其最大亮点在于揭示了蓝牙设备中无需配对即可远程访问和操控内存的严重安全隐患，对蓝牙安全研究具有重要价值。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin《每日安全动态推送(25/12/31)》