https://blog.qife122.com/tags/cwe-78/ Recent content in CWE-78 on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 16:49:28 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90coolify%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-66210%E6%95%B0%E6%8D%AE%E5%BA%93%E5%AF%BC%E5%85%A5%E5%8A%9F%E8%83%BD%E4%B8%AD%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5/ Sun, 28 Dec 2025 16:49:28 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90coolify%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-66210%E6%95%B0%E6%8D%AE%E5%BA%93%E5%AF%BC%E5%85%A5%E5%8A%9F%E8%83%BD%E4%B8%AD%E7%9A%84%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5/ <h1 id="cve-2025-66210-cwe-78-在coollabsio-coolify中操作系统命令特殊元素中和不当操作系统命令注入">CVE-2025-66210: CWE-78 在coollabsio Coolify中操作系统命令特殊元素中和不当（操作系统命令注入）</h1> <p><strong>严重性</strong>: 严重 <strong>类型</strong>: 漏洞 <strong>CVE</strong>: CVE-2025-66210</p> <p>Coolify 是一款用于管理服务器、应用程序和数据库的开源、可自托管工具。在 4.0.0-beta.451 版本之前，数据库导入功能中存在一个经过身份验证的命令注入漏洞，允许拥有应用程序/服务管理权限的用户在托管服务器上以 root 身份执行任意命令。导入操作中使用的数据库名称未经净化直接传递给 shell 命令，从而实现了完全的远程代码执行。版本 4.0.0-beta.451 修复了此问题。</p>