关键漏洞信息 漏洞概览 漏洞类型: OS Command Injection (RCE) CVE ID: CVE-2022-67728 影响版本: <=1.2.30 修复版本: v1.3.2 严重性: Critical (9.8/10) 发布时间: 3 weeks ago 漏洞详情 描述: - 总结: 认证用户或在启用了“公共上传”设置的非认证用户可以利用恶意文件名进行视频文件上传,该文件名直接连接到shell命令,导致远程代码执行(RCE)或通过路径遍历上传文件到任意目录 。 - 细节: 上传文件的文件名,由用户提供且未经清理,被直接连接到shell命令中,并使用 执行。 影响端点: - /api/upload (认证) - /api/uploadChunked (认证) - /api/upload/public (未认证) - /api/uploadChunked/public (未认证) 影响: 攻击者可以执行任意命令, 有机会获得目标主机的完整远程访问权限。攻击者可以部署恶意软件,试图提升权限,或利用这个位置在内部网络中进行横向移动。 修复措施 函数在执行 命令行工具时设置 直接将参数传递给目标 工具,而不是在系统默认shell里运行命令。 使用 函数对文件名进行清理/替换受限字符和模式后在传递到命令的参数中 。