关键漏洞信息 漏洞概述 CVE编号: CVE-2025-55037, CVE-2025-55671 JVN编号: JVN#4873985 发布日期: 2025/09/05 更新日期: 2025/09/05 影响产品 受影响版本: TkEasyGUI versions prior to v1.0.22 漏洞描述 OS命令注入 (CWE-78) - CVSS 4.0: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Base Score 9.3 - CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H Base Score 9.8 不受控制的搜索路径元素 (CWE-427) - CVSS 4.0: AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Base Score 8.5 - CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Base Score 7.8 影响 远程未认证攻击者可能执行任意OS命令,如果设置配置为从外部源构建消息。(CVE-2025-55037) 可以以运行程序的权限执行任意代码。(CVE-2025-55671) 解决方案 更新软件到最新版本。 厂商状态 厂商: kujirahand 链接: Release v1.0.22 其他信息 CVE编号: CVE-2025-55037, CVE-2025-55671 JVN iPedea编号: JVNDL-2025-000075