一、 漏洞 CVE-2025-27106 基础信息
漏洞标题
binance-trading-bot存在代码注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
binance-trading-bot 是一个具有追踪买卖策略的自动化 Binance 交易机器人。由于 `/restore` 接口存在命令注入漏洞,经过身份验证的 binance-trading-bot 用户可以在宿主系统上实现远程代码执行。binance-trading-bot 的 restore 接口通过 `/restore` 接口存在命令注入漏洞。上传文件的名称在传递给 shell.exec 时未经过任何处理,除了路径标准化,从而导致远程代码执行。这可能允许任何授权用户以宿主机器的上下文执行代码。此问题已在版本 0.0.100 中得到解决,建议所有用户进行升级。目前此漏洞没有已知的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Code injection in binance-trading-bot
来源:美国国家漏洞数据库 NVD
漏洞描述信息
binance-trading-bot is an automated Binance trading bot with trailing buy/sell strategy. Authenticated users of binance-trading-bot can achieve Remote Code Execution on the host system due to a command injection vulnerability in the `/restore` endpoint. The restore endpoint of binance-trading-bot is vulnerable to command injection via the `/restore` endpoint. The name of the uploaded file is passed to shell.exec without sanitization other than path normalization, resulting in Remote Code Execution. This may allow any authorized user to execute code in the context of the host machine. This issue has been addressed in version 0.0.100 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27106 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-27106 的情报信息

  • 标题: binance-trading-bot · Advisory · chrisleekr/binance-trading-bot · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    binance-trading-bot · Advisory · chrisleekr/binance-trading-bot · GitHub

  • 标题: fix: restore endpoint vulnerability patch (#683) · chrisleekr/binance-trading-bot@99d464c · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    fix: restore endpoint vulnerability patch (#683) · chrisleekr/binance-trading-bot@99d464c · GitHub

  • 标题: binance-trading-bot/app/frontend/webserver/handlers/restore-post.js at dd8e1a91b872a48aec47bbe1280c1c6ea96784d9 · chrisleekr/binance-trading-bot · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    binance-trading-bot/app/frontend/webserver/handlers/restore-post.js at dd8e1a91b872a48aec47bbe1280c1c6ea96784d9 · chrisleekr/binance-trading-bot · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-27106