一、 漏洞 CVE-2025-34095 基础信息
漏洞信息
                                        # Mako Server v2.5及v2.6经examples/save.lsp的OS命令注入漏洞

## 漏洞概述
Mako Server版本2.5和2.6中的一个OS命令注入漏洞存在于由`examples/save.lsp`端点提供的教程界面中。未经身份验证的攻击者可以通过发送一个精心构造的PUT请求,该请求包含任意Lua `os.execute()`代码,该代码会被持久化到磁盘并通过后续的GET请求到`examples/manage.lsp`触发,从而实现远程命令执行。

## 影响版本
- Mako Server 2.5
- Mako Server 2.6

## 漏洞细节
攻击者可以发送一个精心构造的PUT请求,该请求包含任意Lua `os.execute()`代码。当此请求被接收并处理后,攻击者注入的代码会被持久化存储到磁盘上。然后,通过发送一个GET请求至`examples/manage.lsp`,该恶意代码会被执行,从而实现远程命令执行。

## 影响
该漏洞影响使用Mako Server 2.5和2.6的所有Windows和Unix-based环境部署,使攻击者能够执行远程命令,可能导致系统控制被非法获取。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Mako Server v2.5 and v2.6 OS Command Injection via examples/save.lsp
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An OS command injection vulnerability exists in Mako Server versions 2.5 and 2.6, specifically within the tutorial interface provided by the examples/save.lsp endpoint. An unauthenticated attacker can send a crafted PUT request containing arbitrary Lua os.execute() code, which is then persisted on disk and triggered via a subsequent GET request to examples/manage.lsp. This allows remote command execution on the underlying operating system, impacting both Windows and Unix-based deployments.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Real Time Logic Mako Server 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Real Time Logic Mako Server是美国Real Time Logic公司的一个基于Lua的轻量级的Web框架。 Real Time Logic Mako Server 2.5版本和2.6版本存在安全漏洞,该漏洞源于examples/save.lsp端点中的命令注入问题,可能导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34095 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-34095 的情报信息