https://blog.qife122.com/tags/cve-2025-66203/ Recent content in CVE-2025-66203 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 16:27:41 +0800 https://blog.qife122.com/p/cve-2025-66203streamvault%E8%A7%86%E9%A2%91%E4%B8%8B%E8%BD%BD%E7%BB%84%E4%BB%B6%E4%B8%AD%E7%9A%84%E5%85%B3%E9%94%AE%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ Mon, 29 Dec 2025 16:27:41 +0800 https://blog.qife122.com/p/cve-2025-66203streamvault%E8%A7%86%E9%A2%91%E4%B8%8B%E8%BD%BD%E7%BB%84%E4%BB%B6%E4%B8%AD%E7%9A%84%E5%85%B3%E9%94%AE%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ <h1 id="cve-2025-66203cwe-78-improper-neutralization-of-special-elements-used-in-an-os-command-os-command-injection-in-lemon8866-streamvault">CVE-2025-66203：CWE-78: Improper Neutralization of Special Elements used in an OS Command (&lsquo;OS Command Injection&rsquo;) in lemon8866 StreamVault</h1> <p><strong>严重性：</strong> 严重 <strong>类型：</strong> 漏洞 <strong>CVE：</strong> CVE-2025-66203</p> <p>StreamVault 是一款视频下载集成解决方案。在 251126 版本之前，stream-vault 应用程序中存在一个远程代码执行漏洞。该应用程序允许管理员通过 <code>/admin/api/saveConfig</code> 端点配置 yt-dlp 参数，但未进行充分的验证。这些参数被全局存储，随后在 YtDlpUtil.java 中构建用于执行 yt-dlp 的命令行时被使用。此问题已在版本 251126 中修复。</p>