漏洞关键信息总结 漏洞概述 File Browser 中的 Hook Runner(钩子运行器)功能存在命令注入漏洞。该系统允许管理员在文件事件(如上传、重命名、删除)发生时执行自定义的 shell 命令。漏洞源于变量替换机制:系统使用 Go 语言的 函数来替换模板变量(如 和 ),但该操作未对替换后的值进行任何转义或清理。攻击者可以构造包含 shell 元字符(例如分号 )的恶意文件名,当钩子触发时,这些字符会被解释为 shell 命令的一部分,从而导致服务器执行任意操作系统命令(RCE)。 影响范围 受影响版本: >= 2.X CVSS评分: 7.5 / 10 (High) 修复状态: 截图中显示 "Patched versions: None"。但在描述中提到,从 v2.33.8 版本开始,该功能在所有安装中默认已被禁用("This feature has been disabled by default for all installations from v2.33.8 onwards"),以此作为缓解措施。 Proof of Concept (PoC) 代码** 以下是截图中提供的用于演示该漏洞的 Go 语言代码: