CVE-2025-66203 — 神龙十问 AI 深度分析摘要

🚨 **本质**：StreamVault 存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可实现 **远程代码执行 (RCE)**，彻底接管系统。

🔍 **CWE**：CWE-78 (OS命令注入)。 🐛 **缺陷**：对 **yt-dlp 参数配置** 验证不足，未过滤恶意输入。

🎯 **产品**：StreamVault (视频解析下载工具)。 👤 **厂商**：lemon8866 (MochiMoon 个人开发者)。 📦 **版本**：**251126 之前** 的所有版本均受影响。

👑 **权限**：获得 **高权限** (CVSS H:High)。 📂 **数据**：可完全 **控制服务器/主机**，窃取数据或植入后门。

🔐 **门槛**：**中等**。 ⚠️ 需要 **本地权限 (PR:L)** 触发，但 **无需用户交互 (UI:N)**，攻击复杂度低 (AC:L)。

📜 **Exp**：目前 **无公开 PoC** (pocs 为空)。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔎 **自查**：检查是否运行 **StreamVault** 且版本 < **251126**。 🛠️ **扫描**：检测 yt-dlp 调用链中的 **参数注入** 特征。

🛡️ **修复**：**已修复**。 📥 **补丁**：参考 GitHub Release **251226** 版本及安全公告 GHSA-c747-q388-3v6m。

⏸️ **临时规避**：若无法升级，需严格 **校验 yt-dlp 参数**，禁用危险字符，或暂时 **停用服务**。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：CVSS 评分极高 (C:H/I:H/A:H)，请立即 **升级至 251226 或更高版本**。