CentOS Exploit漏洞的最新动态

CentOS 漏洞与利用动态速览

一、当前需要重点关注的高危漏洞

• CVE-2025-48703（Control Web Panel 远程命令执行）

  • 组件与场景：CWP（CentOS Web Panel），Web 托管控制面板；仅需有效的非 root 用户名即可绕过身份验证执行任意命令。
  • 态势：CISA 已将其纳入 KEV 目录，并要求联邦机构在11 月 25 日前完成修复；暴露面大（约15 万–22 万实例），存在被自动化武器化风险。
  • 处置：立即升级至0.9.8.1205或更高版本；限制公网暴露面与后台访问；审计可疑 sudo 与 web 面板日志。

• CVE-2025-32463 / CVE-2025-32462（sudo 本地提权）

  • 风险要点：
    • CVE-2025-32463（CVSS 9.3，严重）：通过 -R/–chroot 诱骗 sudo 加载用户可控目录下的 nsswitch.conf/动态库，在支持 NSS 的系统上以 root 身份执行任意命令；在部分主流发行版（含 CentOS Stream 10、RHEL 9.4+ 等）的默认配置下可被利用。
    • CVE-2025-32462（CVSS 7.0，中危）：在 sudoers 使用 Host/Host_Alias 等规则时，可能绕过主机限制越权执行管理命令。
  • 影响范围：sudo 1.9.14–1.9.17（CVE-2025-32463），sudo 1.9.15–1.9.16（CVE-2025-32462）。
  • 处置：优先升级 sudo 至官方修复版本；无法立即升级时，临时禁用 chroot（如 echo 'Defaults !chroot' | sudo tee /etc/sudoers.d/disable-chroot），并核查 sudoers 中的 Host/Host_Alias 规则。

二、CentOS 版本与更新节奏

• CentOS Linux 6/7：已进入 EOL，官方不再提供补丁；建议迁移至受支持的 CentOS Stream 或 RHEL。
• CentOS Stream 9/10：滚动更新，持续集成最新安全修复；近期镜像（截至2025-10-31）内核分别为：
  • Stream 10：6.12.0-144.el10（x86_64/ARM64）
  • Stream 9：5.14.0-631.el9（x86_64/ARM64）
    建议通过 yum/dnf update 保持系统与安全组件为最新。

三、快速自查与修复清单

• 检查 sudo 版本与风险：
  • sudo --version（若输出 ≤ 1.9.17，存在风险；升级至修复版并重启会话）。
• 控制面板与暴露面：
  • 如使用 CWP，立即升级至 0.9.8.1205+；限制公网访问，仅在内网或跳板机管理；审查 /var/log/ 下相关日志的异常命令执行与登录。
• 通用加固：
  • 最小化暴露（关闭不必要端口与服务）、启用 fail2ban、强口令与 MFA、定期审计 sudoers 与系统账户、为关键业务建立回滚与快照。