CVE-2025-66203：CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) in lemon8866 StreamVault

严重性： 严重 类型： 漏洞 CVE： CVE-2025-66203

StreamVault 是一款视频下载集成解决方案。在 251126 版本之前，stream-vault 应用程序中存在一个远程代码执行漏洞。该应用程序允许管理员通过 /admin/api/saveConfig 端点配置 yt-dlp 参数，但未进行充分的验证。这些参数被全局存储，随后在 YtDlpUtil.java 中构建用于执行 yt-dlp 的命令行时被使用。此问题已在版本 251126 中修复。

AI 分析

技术摘要

CVE-2025-66203 是在 lemon8866 的 StreamVault 产品中发现的一个严重的操作系统命令注入漏洞。该漏洞存在于 251126 版本之前的 SpiritApplication 组件中，具体涉及通过 /admin/api/saveConfig 端点配置的 yt-dlp 命令行参数的处理。管理员可以提供的参数被全局存储，之后由 YtDlpUtil.java 用于构建执行 yt-dlp 的命令行。由于输入验证或净化不足，具有管理员权限的攻击者可以注入恶意操作系统命令，从而导致在主机系统上远程执行代码。该漏洞会影响机密性、完整性和可用性，因为任意命令都可以以应用程序的权限执行。CVSS v3.1 基础评分为 10.0，反映了网络攻击向量、低攻击复杂度、所需权限、无需用户交互、范围变更以及对机密性、完整性和可用性的高影响。尽管尚未报告有已知的在野利用，但此缺陷的严重性需要立即修复。根本原因是操作系统命令中特殊元素的净化不当，这是一种常见且危险的注入缺陷。该漏洞于 2025-11-24 保留，并于 2025-12-26 发布。未提供补丁链接，但已指明升级到 251126 或更高版本可修复此问题。

潜在影响

对于欧洲组织而言，此漏洞构成严重风险，尤其是那些在媒体制作、广播或内容交付工作流程中使用 StreamVault 的组织。成功利用后，具有管理员访问权限的攻击者可以远程执行任意命令，可能导致系统完全被攻陷、数据泄露、服务中断或网络内横向移动。其影响延伸到敏感视频内容和知识产权的机密性破坏、通过未经授权的修改造成的完整性损失，以及通过破坏性命令或勒索软件部署造成的可用性中断。鉴于其关键 CVSS 评分和范围变更，该漏洞可能影响初始应用程序之外的多个组件或系统。访问控制不足或管理界面暴露的组织尤其容易受到攻击。一旦管理员凭据泄露，无需用户交互的特性便于自动化利用。这在凭据管理薄弱或网络分段不足的环境中提升了威胁级别。目前尚无已知在野利用，这为主动防御提供了一个小的窗口期，但其严重性要求立即打补丁和监控。

缓解建议

1. 立即升级 StreamVault 至修复了漏洞的 251126 或更高版本。
2. 严格限制 对 /admin/api/saveConfig 端点的访问，仅允许受信任的管理员通过网络分段、VPN 或零信任访问控制进行访问。
3. 为所有管理帐户实施多因素身份验证，以降低凭据泄露风险。
4. 对用于命令行构建的所有参数进行输入验证和净化，确保特殊字符被中和或禁止。
5. 监控日志和网络流量，查找对管理端点的异常或未经授权的 API 调用。
6. 部署应用层防火墙或运行时应用程序自我保护解决方案，以检测和阻止命令注入尝试。
7. 定期审计和轮换管理凭据，并审查用户权限以最小化暴露风险。
8. 考虑将 StreamVault 应用程序隔离 在具有最小权限和有限网络连接的强化环境中，以减少爆炸半径。
9. 制定并测试专门针对涉及 StreamVault 或类似应用的 RCE 事件的事件响应计划。
10. 随时了解 与该漏洞相关的供应商公告和威胁情报更新。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源： CVE 数据库 V5 发布时间： 2025年12月26日 星期五