关键漏洞信息 CVE编号: CVE-2025-50989 受影响版本: OPNsense 25.1 漏洞类型: 命令注入 (Command Injection) 认证要求: 需要认证 (Authenticated: Yes) 易受攻击的参数: span 漏洞描述 OPNsense 25.1 在其 Bridge Interface Edit 端点 (interfaces_bridge_edit.php) 中存在一个经过身份验证的命令注入漏洞。span POST 参数被直接拼接到系统级命令中,没有进行适当的清理或转义,允许管理员注入任意 shell 操作和有效载荷。成功利用此漏洞可获得具有 Web 服务特权(通常是 root)的远程代码执行 (RCE),可能导致系统完全被攻陷或横向移动。 示例请求 注意事项 上述版本和用户是测试中使用的具体实例,其他用户和版本也可能受到影响。 此漏洞源于输入验证不足和后端命令调用中对用户提供的数据处理不当。