CVE-2025-10283：BBOT gitdumper.py 输入净化不足导致远程代码执行

漏洞详情

包管理器: pip
受影响包: bbot (pip)
受影响版本: < 2.7.0
已修复版本: 2.7.0
严重程度: 严重 (CVSS评分9.7)

漏洞描述

摘要

BBOT的gitdumper.py模块对.git/config文件净化不足，可能导致远程代码执行(RCE)。
BBOT的gitdumper.py可能处理恶意的.git/index文件，导致任意文件写入，进而被利用实现远程代码执行(RCE)。

影响

使用BBOT扫描恶意Web服务器的用户可能在其系统上执行任意代码。

技术细节

CVSS v3 基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 需要
• 作用范围: 已改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

弱点分类

CWE-22: 路径遍历漏洞
产品使用外部输入构造路径名时，未能正确过滤路径名中的特殊元素，导致路径解析到受限目录之外的位置。

参考信息

• GHSA-h6m2-r6h9-4c44
• https://nvd.nist.gov/vuln/detail/CVE-2025-10283
• blacklanternsecurity/bbot@0ede97f
• https://blog.blacklanternsecurity.com/p/bbot-security-advisory-gitdumper

元数据

CVE ID: CVE-2025-10283
GHSA ID: GHSA-h6m2-r6h9-4c44
源代码: blacklanternsecurity/bbot
报告者: justinsteven

发布日期: 2025年10月9日
最后更新: 2025年10月9日
数据库: GitHub Advisory Database