支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-62193 基础信息
漏洞信息
                                        # NOAA LAS 命令注入漏洞

## 概述
NOAA PMEL Live Access Server (LAS) 存在远程代码执行漏洞,攻击者可通过构造包含 PyFerret 表达式的请求利用该漏洞。

## 影响版本
使用漏洞版本 `gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java` 的 LAS 站点,未明确列出具体版本号。

## 细节
漏洞源于 LAS 对 PyFerret 表达式的处理不当,攻击者可在请求中注入包含 `SPAWN` 命令的 PyFerret 表达式,导致任意操作系统命令执行。

## 影响
远程、未认证攻击者可利用此漏洞在目标服务器上执行任意命令,实现远程代码执行,完全控制受影响系统。  
该漏洞已在 2025-09-24 修复的 `RequestInputFilter.java` 版本中修复。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
NOAA PMEL Live Access Server (LAS) PyFerret command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Sites running NOAA PMEL Live Access Server (LAS) are vulnerable to remote code execution via specially crafted requests that include PyFerret expressions. By leveraging a SPAWN command, a remote, unauthenticated attacker can execute arbitrary OS commands. Fixed in a version of 'gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java' from 2025-09-24.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
LAS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LAS是Pacific Marine Environmental Laboratory开源的一个服务器软件。 LAS存在安全漏洞,该漏洞源于特制请求中的PyFerret表达式,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62193 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-62193 的情报信息

  • 标题: LAS/README.md at main · NOAA-PMEL/LAS · GitHub -- 🔗来源链接

    标签:patch

    神龙速读:
                                            ### 关键信息

- **漏洞编号**: CVE-2025-62193
- **影响的软件**: LAS (specifically LAS 8)
- **漏洞严重性**: 严重

### 建议措施

- **停止安装新实例**: 由于不存在可用的发布包,不建议安装该软件的新实例。
- **应用修复措施**: 如果仍在运行LAS 8,应按照以下步骤应用修复:
  - 获取最新版本的`RequestInputFilter.java`文件。
  - 为本地环境编译并替换旧文件。
  - 重启Tomcat服务。

### 注意事项

- 项目非官方通信,不构成任何商业产品或活动的官方支持。
    LAS/README.md at main · NOAA-PMEL/LAS · GitHub

  • 标题: CVE Record: CVE-2025-62193 -- 🔗来源链接

    标签:vdb-entry

    神龙速读:
                                            ## 关键漏洞信息

- **CVE编号**: CVE-2025-62193
- **发布日期**: 2026-01-15
- **更新日期**: 2026-01-15
- **漏洞描述**: 
  - 目标系统:NOAA PMEL Live Access Server (LAS)
  - 漏洞类型:PyFerret命令注入
  - 利用方式:通过特制请求中的PyFerret表达式,远程执行任意OS命令
  - 影响范围:无认证的远程攻击者可以执行任意OS命令
  - 修复:已在版次'gov.noaa.pmel.tmap.las.filter.RequestBodyFilter.java'于2025-09-24修复
- **CWE类型**:
  - CWE-78: OS命令注入
- **CVSS评分**:
  - 版本4.0: 9.3 (临界)
  - 版本3.1: 9.8 (临界)
- **厂商与产品**:
  - 厂商: 国家海洋和大气管理局(NOAA)
  - 产品: Live Access Server (LAS)
- **受影响版本**:
  - 默认状态: 未知
  - 受影响版本: 8及以下版本
- **相关参考**:
  - GitHub链接 (产品关联)
  - GitHub链接 (补丁关联)
  - cve.org链接 (第三方公告)
  - raw.githubusercontent链接 (第三方公告、政府资源)
    CVE Record: CVE-2025-62193

  • 标题: Update RequestInputFilter.java · NOAA-PMEL/LAS@de5f923 · GitHub -- 🔗来源链接

    标签:patch

    神龙速读:
                                            ### 关键信息

- **项目名称**: NOAA-PMEL / LAS
- **提交ID**: de5f923
- **提交者**: noaaroland
- **提交日期**: 2025年9月25日
- **修改文件**: RequestInputFilter.java
- **修改原因**: 更新 RequestInputFilter.java, 确保检查在正确的位置
- **修改细节**:
  - **删除行**:
    - 368-373: 检查并处理 `Ferret expressions` 的逻辑, 包括日志记录和发送 404 错误响应
  - **添加行**:
    - 380-385: 在 `try` 块内重新添加了对 `Ferret expressions` 的检查逻辑, 确保在解析 XML 请求时进行处理
  - **其他修改**: 
    - 将 `catch (UnsupportedEncodingException e)` 修改为 `catch (Exception e)` 以捕获更广泛的异常

### 漏洞相关

- **潜在问题**: 此修改可能表明之前代码中存在对 `Ferret expressions` 的处理漏洞, 尤其是在处理用户输入时未进行充分检查导致的安全风险, 如代码注入等。
- **安全性提升**: 更新后的代码确保在更安全的代码块中进行检查, 提升了整体安全性, 但也需要进一步检查是否所有潜在的输入都得到了妥善处理。
    Update RequestInputFilter.java · NOAA-PMEL/LAS@de5f923 · GitHub

  • 标题: Update RequestInputFilter.java · NOAA-PMEL/LAS@e69afb1 · GitHub -- 🔗来源链接

    标签:patch

    神龙速读:
                                            ## 关键信息摘要

- **提交信息**: 更新 `RequestInputFilter.java` 文件,禁止表达式使用
- **文件**: `RequestInputFilter.java`
- **修改内容**:
    - 添加对 `expression` 参数的检查
    - 若 `expression` 不为空,则记录错误日志并返回错误响应
- **安全措施**: 通过拒绝 `expression` 参数来防止潜在的代码注入攻击,确保系统安全
    Update RequestInputFilter.java · NOAA-PMEL/LAS@e69afb1 · GitHub

  • 标题: GitHub - NOAA-PMEL/LAS: Live Access Server -- 🔗来源链接

    标签:product

    神龙速读:
                                            从这个网页截图中,可以获取到以下关于漏洞的关键信息:

- **漏洞标识**:CVE-2025-62193
- **严重性**:存在严重漏洞
- **受影响的版本**:LAS 8
- **当前状态**:不再提供新的实例,建议停止使用LAS
- **修复步骤**:
    1. 获取最新的`gov.noaa.pmel.tmap.las.filter.RequestBodyFilter.java`文件。
    2. 编译该文件,替换原有文件,并重启Tomcat服务器。

```markdown
### 漏洞信息

- **CVE标识**: CVE-2025-62193
- **严重性**: 严重
- **受影响版本**: LAS 8
- **当前状态**: 不再提供新的实例,建议停止使用LAS

### 修复步骤

1. **获取最新文件**: 从[此链接](gov.noaa.pmel.tmap.las.filter.RequestInputFilter.java)获取最新版本的 `RequestBodyFilter.java`。
2. **替换和编译**: 
   - 将新文件替换到原有路径 `JavaSource/gov/noaa/pmel/tmap/las/filter/RequestBodyFilter.java`。
   - 执行以下命令编译和部署:
     ```
     ant compile
     ant deploy
     ```
   - 重新启动Tomcat服务器。
```
    GitHub - NOAA-PMEL/LAS: Live Access Server
  • https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-26-015-01.jsonthird-party-advisorygovernment-resource

  • 标题: Comparing b4b7306..de5f923 · NOAA-PMEL/LAS · GitHub -- 🔗来源链接

    标签:patch

    Comparing b4b7306..de5f923 · NOAA-PMEL/LAS · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62193
四、漏洞 CVE-2025-62193 的评论

暂无评论

发表评论