https://blog.qife122.com/tags/cve-2025-66213/ Recent content in CVE-2025-66213 on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 20:45:50 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6coolify-4.0.0-beta.451-%E5%89%8D%E7%89%88%E6%9C%AC%E5%AD%98%E5%9C%A8os%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E9%A3%8E%E9%99%A9/ Sun, 28 Dec 2025 20:45:50 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6coolify-4.0.0-beta.451-%E5%89%8D%E7%89%88%E6%9C%AC%E5%AD%98%E5%9C%A8os%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-66213cwe-78-在-coollabsio-coolify-中操作系统命令特殊元素的不当中和os-命令注入">CVE-2025-66213：CWE-78 在 coollabsio coolify 中操作系统命令特殊元素的不当中和（&lsquo;OS 命令注入&rsquo;）</h1> <p><strong>严重性：</strong> 严重 <strong>类型：</strong> 漏洞</p> <h2 id="摘要">摘要</h2> <p>Coolify 是一个用于管理服务器、应用程序和数据库的开源、可自托管工具。在 4.0.0-beta.451 版本之前，文件存储目录挂载路径功能中存在一个经过身份验证的命令注入漏洞。该漏洞允许拥有应用程序/服务管理权限的用户在受管服务器上以 root 身份执行任意命令。<code>file_storage_directory_source</code> 参数未经适当清理直接传递给 shell 命令，从而能够在主机系统上实现完全的远程代码执行。版本 4.0.0-beta.451 修复了此问题。</p>