https://blog.qife122.com/tags/cve-2025-66449/ Recent content in CVE-2025-66449 on 办公AI智能小助手 Hugo zh-cn qife Sat, 03 Jan 2026 03:32:13 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-66449-%E5%A6%82%E4%BD%95%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E5%86%99%E5%85%A5%E4%B8%8E%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ Sat, 03 Jan 2026 03:32:13 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-66449-%E5%A6%82%E4%BD%95%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E5%86%99%E5%85%A5%E4%B8%8E%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ <p><strong>CVE-2025-66449：CWE-22：C4illin ConvertX 中对路径名到受限目录的限制不当（路径遍历）</strong></p> <p><strong>严重性：</strong> 高 <strong>类型：</strong> 漏洞</p> <p><strong>CVE-2025-66449</strong></p> <p>CVE-2025-66449 是 C4illin 的 ConvertX 文件转换器在 0.16.0 之前版本中存在的一个高严重性路径遍历漏洞。经过身份验证的用户可以通过向 <code>/upload</code> 端点提供绕过清理的恶意文件名来利用此漏洞，从而实现任意文件写入。这使得攻击者能够覆盖关键的系统二进制文件，从而在主机上实现完整的代码执行。该漏洞需要身份验证，但除此之外无需用户交互。此问题已在 0.16.0 版本中修复。尽管目前尚未有已知的野外利用报告，但其对机密性、完整性和可用性的影响是严重的。</p>