CVE-2025-53890 — 神龙十问 AI 深度分析摘要

🚨 **本质**：pyLoad 存在不安全的 JavaScript 评估漏洞。<br>💥 **后果**：攻击者可利用该漏洞实现 **远程代码执行 (RCE)**，彻底接管服务器。

🔍 **CWE**：CWE-94 (代码注入)。<br>📍 **缺陷点**：后端对 **JavaScript 代码** 的评估缺乏安全过滤，导致恶意脚本被直接执行。

📦 **受影响组件**：pyLoad (Python 编写的开源下载管理器)。<br>🏷️ **厂商**：pyload。<br>⚠️ **注意**：数据未明确具体版本号，建议检查所有未打补丁实例。

👑 **权限**：获得 **最高权限** (CVSS A:H)。<br>💾 **数据**：完全泄露敏感数据 (C:H) 并篡改系统 (I:H)。<br>🌐 **范围**：服务器完全沦陷。

🚪 **门槛极低**。<br>📉 **向量**：AV:N (网络攻击), AC:L (低复杂度), PR:N (无需认证), UI:N (无需用户交互)。<br>✅ **结论**：任何人无需登录即可远程利用。

📜 **PoC**：数据中 `pocs` 字段为空，暂无公开现成 Exp。<br>🌍 **在野**：暂无在野利用报告。<br>⚠️ **风险**：虽无公开 Exp，但漏洞原理简单，利用代码极易编写。

🔎 **自查方法**：<br>1. 检查 pyLoad 版本是否包含漏洞。<br>2. 审查代码中是否存在 `eval()` 或类似 JS 评估函数。<br>3. 监控 Web 日志中异常的 JavaScript 注入请求。

🛡️ **官方已修复**。<br>🔗 **补丁链接**：GitHub Commit `909e5c9`。<br>📝 **详情**：见 GitHub Security Advisory `GHSA-8w3f-4r8f-pf53` 及 PR `#4586`。

⚠️ **临时规避**：<br>1. **立即升级**至修复版本。<br>2. 若无法升级，配置 **WAF** 拦截包含 JS 注入特征的请求。<br>3. 限制 pyLoad 服务仅在内网访问，禁止公网暴露。

🔥 **优先级：极高 (Critical)**。<br>📅 **CVSS**：10.0 (满分)。<br>💡 **建议**：由于无需认证且可远程执行代码，建议 **立即** 应用补丁或采取缓解措施。