CERT/CC警告Lite XL文本编辑器存在代码执行漏洞（CVE-2025-12120、CVE-2025-12121）

CERT协调中心（CERT/CC）发布漏洞通告，指出轻量级跨平台文本编辑器Lite XL存在两个严重安全漏洞。该编辑器因基于Lua的可扩展性而深受开发者欢迎。漏洞CVE-2025-12120和CVE-2025-12121可能允许攻击者通过打开恶意项目或触发不安全shell命令在受影响系统上执行任意代码。

漏洞详情

CVE-2025-12120：项目文件自动执行漏洞

第一个漏洞CVE-2025-12120源于Lite XL在用户打开项目目录时自动执行.lite_project.lua文件的机制。虽然这些文件设计用于项目特定配置，但它们可能包含任意Lua代码，如果开发者无意中打开被篡改的代码库，威胁行为体将获得执行恶意脚本的直接路径。

CERT/CC指出："．lite_project.lua文件本意用于项目特定配置，但可包含可执行Lua逻辑。此行为可能在使用者打开恶意项目时执行不受信任的Lua代码，进而导致以Lite XL进程权限执行任意代码。"

该漏洞对处理开源或第三方代码的开发者尤为危险，因为除了在编辑器中打开文件夹外，不需要任何用户交互。

CVE-2025-12121：系统命令注入漏洞

第二个漏洞CVE-2025-12121涉及system.exec函数中的过滤不严问题，该函数在Lite XL的多个组件中使用，包括core.lua、rootview.lua和treeview插件。

通告解释称：“Lite XL 2.1.8及之前版本在system.exec函数中存在漏洞，允许通过未过滤的shell命令构造实现任意命令执行。”

由于该函数可能受用户控制的输入影响，攻击者可能利用它以编辑器进程相同权限执行任意shell命令。

攻击影响

两个漏洞都为远程代码执行（RCE）开启了关键路径。就CVE-2025-12120而言，仅打开恶意项目目录即可触发隐藏的Lua有效负载。对于CVE-2025-12121， exploitation可能通过编辑器插件和脚本接口中的系统命令不安全处理发生。

修复建议

漏洞由Dogus Demirkiran负责任披露，并得到Lite XL维护者和CERT/CC的致谢。根据CERT/CC，两个漏洞影响Lite XL 2.1.8及更早版本，强烈建议用户升级到包含GitHub上pull请求#1472和#1473修复的最新版本。