一、 漏洞 CVE-2025-0868 基础信息
漏洞信息
# DocsGPT中的远程代码执行漏洞
## 概述
DocsGPT存在一个漏洞,可能导致远程代码执行(RCE)。由于使用eval()不当解析JSON数据,未经授权的攻击者可以通过/api/remote端点发送任意Python代码以执行。
## 影响版本
- DocsGPT: 0.8.1 至 0.12.0
## 细节
该漏洞源于DocsGPT使用eval()函数不恰当解析JSON数据。攻击者可以利用这个漏洞通过/api/remote端点发送任意Python代码,从而在服务器上执行任意代码。
## 影响
远程攻击者可以利用此漏洞执行任意代码,导致完整的系统控制风险。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-0868 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | A vulnerability, that could result in Remote Code Execution (RCE), has been found in DocsGPT. Due to improper parsing of JSON data using eval() an unauthorized attacker could send arbitrary Python code to be executed via /api/remote endpoint.This issue affects DocsGPT- from 0.8.1 through 0.12.0. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-0868.yaml | POC详情 |
三、漏洞 CVE-2025-0868 的情报信息
-
标题: Vulnerability in DocsGPT software | CERT Polska -- 🔗来源链接
标签: third-party-advisory
-
标题: Podatność w oprogramowaniu DocsGPT | CERT Polska -- 🔗来源链接
标签: third-party-advisory
-
标题: GitHub - arc53/DocsGPT: Chatbot for documentation, that allows you to chat with your data. Privately deployable, provides AI knowledge sharing and integrates knowledge into your AI workflow -- 🔗来源链接
标签: product
- https://nvd.nist.gov/vuln/detail/CVE-2025-0868