https://blog.qife122.com/tags/cve-2025-66212/ Recent content in CVE-2025-66212 on 办公AI智能小助手 Hugo zh-cn qife Tue, 13 Jan 2026 18:46:36 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6coolify%E5%8A%A8%E6%80%81%E4%BB%A3%E7%90%86%E9%85%8D%E7%BD%AE%E4%B8%AD%E7%9A%84os%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Tue, 13 Jan 2026 18:46:36 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6coolify%E5%8A%A8%E6%80%81%E4%BB%A3%E7%90%86%E9%85%8D%E7%BD%AE%E4%B8%AD%E7%9A%84os%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h2 id="cve-2025-66212-cwe-78-在-coollabsio-coolify-中os命令特殊元素不当过滤os命令注入">CVE-2025-66212: CWE-78 在 coollabsio coolify 中OS命令特殊元素不当过滤（OS命令注入）</h2> <p><strong>严重性：</strong> 严重 <strong>类型：</strong> 漏洞 <strong>CVE：</strong> CVE-2025-66212</p> <p>Coolify 是一个用于管理服务器、应用和数据库的开源、可自托管工具。在 4.0.0-beta.451 版本之前，动态代理配置文件名处理中存在一个经过身份验证的命令注入漏洞，拥有应用/服务管理权限的用户可以以 root 身份在受管服务器上执行任意命令。代理配置文件名未经适当转义便传递给 shell 命令，从而实现了完全的远程代码执行。版本 4.0.0-beta.451 修复了此问题。</p>