漏洞扫描工具WebInspect 最新版本工具规则库更新，新增针对人工智能系统的提示注入、CVE多类新漏洞的支持

Weblnspect 是一款动态应用程序安全测试 (DAST) 工具，也就是我们常说的软件漏扫工具。Weblnspect 通过模拟真实世界中对正在运行的应用程序的外部安全攻击来识别问题，并优先对其进行根因分析。Weblnspect作为一款成熟的商业工具，拥有大量有利于集成的 REST API，可以方便的地与各种环境进行集成。该产品是安全规则库的更新速度以及覆盖范围都较为出色的一款漏扫工具。

近日，该工具发布了最新版本的规则库，版本 2025.3.0，新增了针对人工智能系统的提示注入类漏洞的支持以及多个CVE漏洞的升级。与此同时，OWASP ASVS 提供了一种用于测试 Web 应用程序以进行安全控制的方法，并提供了安全的开发指南。此版本包含 OpenText DAST （WebInspect） 检查与最新版本的 OWASP ASVS 5.0 的关联。

下面我们一起来具体看一下最新版本的更新内容。

一、漏洞支持

1、提示注入

提示注入是一种针对使用大型语言模型 （LLM） 的应用程序的攻击技术，其中恶意用户纵模型的输入（也称为提示）以更改预期行为。这可能包括让 LLM 忽略以前的指令、泄露敏感数据、生成有害或意外的输出。该版本新增了提示注入（Prompt Injection）的检测功能。

2、访问控制：绕过授权 （CVE-2025-3102）

SureTriggers（现为 OttoKit）是 Brainstorm Force 的 WordPress 插件，可实现跨营销、CRM 和站点管理的无代码自动化工作流程。CVE-2025-3102 是 1.0.79 之前的 SureTriggers 版本中的一个身份验证绕过漏洞。由于 secret_key 参数缺少空值检查，未经身份验证的攻击者可以调用 API 在受影响的站点上自动创建新的管理员帐户。最新版本包含一项检查，用于在受影响的 WordPress 服务器上检测此漏洞。

3、访问控制：权限提升 （CVE-2025-27007）

SureTriggers（现为 OttoKit）是 Brainstorm Force 的一个 WordPress 插件，用于无代码自动化工作流程。由 CVE-2025-27007 发现的新权限分配漏洞会影响 1.0.82 及以下版本的 SureTriggers。易受攻击的 SureTriggers WordPress 插件版本无法验证用户功能，并且未正确处理create_wp_connection REST API 调用，从而允许未经身份验证的攻击者通过配置任意管理员帐户来提升权限。最新版本添加了一个检查来检测此漏洞。

4、不安全部署：未修补的应用程序（CVE-2024-9487 和 CVE-2025-23369）

CVE-2024-9487 和 CVE-2025-23369 是 GitHub Enterprise Server 的 SAML 单点登录实施中的关键不当签名验证漏洞。启用 CVE-2024-9487 和加密断言后，攻击者可以制作服务器错误验证的恶意 SAML 响应 - 绕过 SSO、预置任意用户帐户和模拟任何身份。此漏洞影响 3.15 之前的所有 GitHub Enterprise Server 版本，并在 3.11.16、3.12.10、3.13.5 和 3.14.2 中修复。CVE-2025-23369 是 GitHub Enterprise Server 基于 libxml2 的 SAML 签名检查器中的一个严重 XML 签名欺骗缺陷。经过身份验证的用户可以利用 XML 实体边缘情况完全绕过 SAML 签名验证，从而模拟任何用户。此漏洞影响了 3.12.14、3.13.10、3.14.7、3.15.2 和 3.16.0 之前的所有 GitHub Enterprise Server 版本。此版本包括一种检测机制，用于识别受影响的 GitHub Enterprise Server 实例上的这些漏洞。

二、合规性报告

1、DISA 应用程序安全和开发 STIG 版本 6.3

为了支持联邦客户的合规性需求，添加了 OpenText DAST （WebInspect） 检查与最新的国防信息系统局 （DISA） 应用程序安全和开发 STIG 版本 6.3 的关联。

2、OWASP ASVS 5.0

OWASP ASVS 提供了一种用于测试 Web 应用程序以进行安全控制的方法，并提供了安全的开发指南。此版本包含 OpenText DAST （WebInspect） 检查与最新版本的 OWASP ASVS 5.0 的关联。

三、策略更新

1、DISA 应用程序安全和开发 STIG 版本 6.3

已将自定义策略添加到受支持策略的 SecureBase 列表中，以包括与 DISA 应用程序安全和开发 STIG 版本 6.3 相关的检查。

2、OWASP ASVS 5.0

自定义策略以包括与 OWASP ASVS 版本 5.0 相关的检查已添加到受支持策略的 OpenText DAST SecureBase 列表中。

3、LLM 安全

已将自定义策略添加到受支持策略的 OpenText DAST （WebInspect） SecureBase 列表中，以包括与大型语言模型 （LLM） 交互的应用程序相关的检查。它旨在补充现有的传统应用程序安全策略，而不是取代它们。此策略包含用于检测提示注入漏洞的可用 OpenText DAST （WebInspect） 检查的子集。

4、Fortify Premium 内容

研究团队构建、扩展和维护我们核心安全情报产品之外的各种资源。

5、DISA STIG 6.3

为了配合新的相关性，此版本还包含一个新的 OpenText 应用程序安全报告包（Fortify Software Security Center），支持 DISA 应用程序安全和开发 STIG 版本 6.3，可从 Fortify 客户支持门户的“高级内容”下下载。

6、OWASP ASVS 5.0

应用程序安全验证标准 （ASVS） 是在软件开发生命周期 （SDLC） 期间要执行的应用程序安全要求和测试以及构建安全软件的配置列表。我们预计，随着我们与行业合作伙伴合作改进映射的设计方式，此映射将继续发展。为了配合新的关联，此版本还包含一个支持 OWASP ASVS 5.0 的开放文本应用程序安全（Fortify 软件安全中心）的新报告包，可从 Fortify 客户支持门户的“高级内容”下下载。

以上就是针对漏洞扫描工具WebInspect 最新版本的更新内容的介绍，希望能够对您有所帮助，如需Fortify工具试用或技术交流，可在评论区留言。