漏洞信息(CVE-2025-1302)

一、漏洞 CVE-2025-1302 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

jsonpath-plus包版本在10.3.0之前的版本由于输入验证不当，存在远程代码执行（RCE）漏洞。攻击者可以通过利用不安全的默认使用eval='safe'模式，在系统上执行任意代码。 **注意：** 这是由于对[CVE-2024-21534](https://security.snyk.io/vuln/SNYK-JS-JSONPATHPLUS-7945884)的修复不完整所导致的。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Versions of the package jsonpath-plus before 10.3.0 are vulnerable to Remote Code Execution (RCE) due to improper input sanitization. An attacker can execute aribitrary code on the system by exploiting the unsafe default usage of eval='safe' mode. **Note:** This is caused by an incomplete fix for [CVE-2024-21534](https://security.snyk.io/vuln/SNYK-JS-JSONPATHPLUS-7945884).

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-1302 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-1302 的情报信息

标题： Remote Code Execution (RCE) in jsonpath-plus | CVE-2025-1302 | Snyk -- 🔗来源链接

标签：
标题： JSONPath-plus 10.2.0 RCE PoC.md · GitHub -- 🔗来源链接

标签：
标题： File not found · GitHub -- 🔗来源链接

标签：
标题： fix(eval): rce using non-string prop names · JSONPath-Plus/JSONPath@3094289 · GitHub -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-1302