https://blog.qife122.com/tags/cve-2025-67728/ Recent content in CVE-2025-67728 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 01:34:09 +0800 https://blog.qife122.com/p/fireshare%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E6%81%B6%E6%84%8F%E6%96%87%E4%BB%B6%E5%90%8D%E5%8F%AF%E5%AF%BC%E8%87%B4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ Sun, 11 Jan 2026 01:34:09 +0800 https://blog.qife122.com/p/fireshare%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E6%81%B6%E6%84%8F%E6%96%87%E4%BB%B6%E5%90%8D%E5%8F%AF%E5%AF%BC%E8%87%B4%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ <h1 id="cve-2025-67728cwe-77shaneisrael-fireshare-中命令的特殊元素中和不当命令注入">CVE-2025-67728：CWE-77：ShaneIsrael Fireshare 中命令的特殊元素中和不当（命令注入）</h1> <p><strong>严重性：</strong> 严重 <strong>类型：</strong> 漏洞 <strong>CVE：</strong> CVE-2025-67728</p> <p>Fireshare 是一个自托管的媒体和链接共享平台。1.2.30 及以下版本允许经过身份验证的用户（如果启用了“公共上传”设置，则未经验证的用户也可）在上传视频文件时构造恶意文件名。该恶意文件名随后被直接拼接到 shell 命令中，可用于通过路径遍历将文件上传到任意目录，或执行系统命令以实现远程代码执行（RCE）。此问题已在 1.3.0 版本中修复。</p>