关键信息 漏洞概述 漏洞名称: StreamVault can perform remote command execution 受影响版本: <= 250821 CVE ID: CVE-2023-47696 严重性: High 漏洞详情 描述: StreamVault系统可以执行远程命令。 问题: - 登录后,攻击者可以通过修改系统参数(如各种视频平台的cookies)来控制恶意命令,导致命令注入攻击,并最终获取服务器权限。 - 系统尝试访问后端数据时,部分数据未经过适当验证即传递给Python脚本执行命令。如果cookie内容被恶意构造,如 ,则可以执行任意命令。 示例代码 影响 使用所有版本的StreamVault系统的用户,如果没有修改后台密码或使用弱密码,可能会面临通过远程命令执行失去系统控制的风险。 修复建议 避免在需要字符串拼接的地方使用命令行参数。 使用内置语言功能或安全库作为替代方案。 验证输入并确保主要修复建议不会带来其他风险。 避免在非受控环境中执行命令。