漏洞详情

包名: npm @kottster/server

受影响版本: >= 3.2.0, < 3.3.2

已修复版本: 3.3.2

影响范围

仅开发模式受影响。Kottster在开发模式下存在预认证远程代码执行（RCE）漏洞。

该漏洞结合了两个问题：

• initApp操作可重复调用而不检查应用是否已初始化，允许攻击者创建新的root管理员账户并获取JWT令牌
• installPackagesForDataSource操作使用未转义的命令参数，导致命令注入

攻击者通过访问本地运行的开发实例可以链式利用这些漏洞：

• 重新初始化应用并获取新root账户的JWT令牌
• 使用此令牌进行身份验证
• 通过installPackagesForDataSource执行任意系统命令

生产环境部署从未受影响。

修复方案

已在v3.3.2中修复。具体来说，@kottster/server v3.3.2和@kottster/cli v3.3.2解决了此漏洞。

建议使用早期版本@kottster/server和@kottster/cli的开发者将所有核心包更新到最新版本：

1

npm install @kottster/common@latest @kottster/cli@latest @kottster/server@latest @kottster/react@latest

临时解决方案

• 不要将开发服务器暴露给公共网络或不受信任的用户
• 对于可从受信任环境外部访问的任何部署，请使用生产模式

致谢

衷心感谢RedAlert的Jeongwon Jo（@P0cas）发现并负责任地披露此漏洞。

参考链接

• GHSA-j3w7-9qc3-g96p
• kottster/kottster@0a7d249
• https://nvd.nist.gov/vuln/detail/CVE-2025-62713

安全评分

严重程度: 高

CVSS总体评分: 7.2/10

弱点类型:

• CWE-78: OS命令注入不当处理
• CWE-284: 不当的访问控制