漏洞关键信息 概述 CVE: CVE-2025-65791 漏洞类型: Command Injection 受影响产品: ZoneMinder v1.36.34 受影响组件: web/views/image.php 漏洞细节 应用程序在处理用户输入时未能正确进行验证,直接将参数传递到PHP 函数,导致任意命令执行。 漏洞分类 CWE: CWE-78 — Improper Neutralization of Special Elements used in an OS Command 漏洞类型: Command Injection 攻击类型: Remote 影响: Arbitrary Command Execution 攻击场景 执行任意操作系统命令 读取、修改或删除敏感文件 建立反向Shell 根据服务权限提升权限 完全控制受影响服务器 影响评估 机密性: 高 完整性: 高 可用性: 高 缓解建议 避免在用户控制的输入下使用 实施严格的输入验证和白名单机制 使用安全的系统调用包装器(如 ) 一旦有更新,立即应用厂商补丁 使用最小权限原则限制Web服务权限 参考资料 CWE-78: https://cwe.mitre.org/data/definitions/78.html CVE ID: CVE-2025-65791(已分配,待发布) 披露时间线 发现日期: 2025 CVE分配日期: 2025 公开披露: 待定 发现者 Rishav Anand