https://blog.qife122.com/tags/cwe-95/ Recent content in CWE-95 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 14:35:46 +0800 https://blog.qife122.com/p/cve-2025-54322xspeeder-sxzos-%E4%B8%AD%E7%9A%84%E5%8A%A8%E6%80%81%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Mon, 29 Dec 2025 14:35:46 +0800 https://blog.qife122.com/p/cve-2025-54322xspeeder-sxzos-%E4%B8%AD%E7%9A%84%E5%8A%A8%E6%80%81%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2025-54322-cwe-95-improper-neutralization-of-directives-in-dynamically-evaluated-code-eval-injection-in-xspeeder-sxzos">CVE-2025-54322: CWE-95 Improper Neutralization of Directives in Dynamically Evaluated Code (&lsquo;Eval Injection&rsquo;) in Xspeeder SXZOS</h1> <p><strong>严重性</strong>: 严重 <strong>类型</strong>: 漏洞 <strong>CVE编号</strong>: CVE-2025-54322</p> <p><strong>描述</strong> 截至2025年12月26日，Xspeeder SXZOS 版本允许攻击者通过向 <code>vLogin.py</code> 的 <code>chkid</code> 参数提交经过Base64编码的Python代码，实现以root权限进行远程代码执行。<code>title</code> 和 <code>oIP</code> 参数也被利用。</p>