VSEC_V4_2025_07_0001: Vaelsys OS 命令注入漏洞 (vgrid_server.php) 漏洞概述 在 Vaelsys OS 的 文件中, 函数存在 OS 命令注入漏洞。攻击者可以通过 参数注入并执行任意操作系统命令。该漏洞无需身份验证(只要会话有效),利用后可以 Web 服务器进程用户(www-data)的权限执行命令。 CVE 编号: CVE-2025-8259 CVSS 评分: 7.3 (HIGH) 状态: 已修复 (FIXED) 影响范围 Vifence3: 所有版本(已停产) VaelsysV4 (VaelsysOS 8): 所有版本 VaelsysV4 (VaelsysOS 10): 4.0.0 - 5.1.0 VaelsysV4 (VaelsysOS 12): 5.1.1 - 5.4.0 修复方案 建议将受影响的系统升级到以下修复版本: VaelsysV4 (VaelsysOS 10): 升级至 5.1.1 VaelsysV4 (VaelsysOS 12): 升级至 5.4.1 Vifence3 / VaelsysOS 8: 已停产,建议更换设备或应用网络缓解措施(限制网络访问)。 漏洞验证 (POC) Vaelsys 提供了用于验证漏洞的脚本 。 脚本用法: 说明: 该脚本向易受攻击的 处理程序发送 crafted 请求。 需要有效的 PHP 会话标识符(可从登录页面获取),但不需要身份验证。 如果目标易受攻击,脚本将返回 0;否则返回 1。