一、 漏洞 CVE-2025-25286 基础信息
漏洞标题
Crayfish组件存在远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Crayfish 是 Islandora 8 微服务集合,其中 Homarus 提供 FFmpeg 作为微服务。在 Crayfish 4.1.0 版本之前,Homarus 在某些配置下的 Web 可访问安装中可能存在远程代码执行的风险。该问题已在 `islandora/crayfish:4.1.0` 版本中修复。一些替代解决方案可用。利用该漏洞需要向 Homarus 的 `/convert` 端点发起请求;因此,如果微服务不能直接从 Internet 访问,利用该漏洞的可能性将大大降低。建议:防止来自 Internet 的普通访问直接访问 Homarus。或者,配置 Crayfish 的认证,使其更严格,对于那些验证失败的带有 `Authorization` 头的请求,在发生问题的 CLI 插值之前就被拒绝。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
Crayfish allows Remote Code Execution via Homarus Authorization header
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Crayfish is a collection of Islandora 8 microservices, one of which, Homarus, provides FFmpeg as a microservice. Prior to Crayfish version 4.1.0, remote code execution may be possible in web-accessible installations of Homarus in certain configurations. The issue has been patched in `islandora/crayfish:4.1.0`. Some workarounds are available. The exploit requires making a request against the Homarus's `/convert` endpoint; therefore, the ability to exploit is much reduced if the microservice is not directly accessible from the Internet, so: Prevent general access from the Internet from hitting Homarus. Alternatively or additionally, configure auth in Crayfish to be more strongly required, such that requests with `Authorization` headers that do not validate are rejected before the problematic CLI interpolation occurs.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
转义、元或控制序列转义处理不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-25286 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-25286 的情报信息