漏洞概述

GHSA-26f6-wm47-7h7j 是一个关于motionEye安全漏洞的重复公告，该公告已于2025年11月3日被撤回，因为它与GHSA-j945-qm58-4gjx重复。此链接被保留以维护外部引用。

漏洞详情

受影响版本

• pip包：motioneye
• 受影响版本：低于0.43.1b5的所有版本

漏洞描述

MotionEye v0.43.1b4及之前版本在配置参数（如image_file_name）中存在操作系统命令注入漏洞。未经净化的用户输入被写入Motion配置文件，允许具有管理员访问权限的远程认证攻击者在Motion重启时实现代码执行。

技术细节

漏洞类型

• CWE-20: 不当的输入验证
• 产品接收输入或数据，但未验证或错误验证输入是否具有安全正确处理数据所需的属性。

严重程度

• 严重等级: 高
• CVSS评分: 7.2/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 高
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-60787
• https://github.com/prabhatverma47/motionEye-RCE-through-config-parameter
• http://motioneye-project.com

时间线

• 发布到NVD: 2025年10月3日
• 发布到GitHub咨询数据库: 2025年10月3日
• 审核: 2025年11月3日
• 撤回: 2025年11月3日
• 最后更新: 2025年11月3日