一、 漏洞 CVE-2025-62713 基础信息
漏洞信息
                                        # 开发模式下Kottster应用可重复触发命令注入

## 概述

Kottster 是一个自托管的 Node.js 管理面板。在版本 3.2.0 至 3.3.2 之前,存在一个**预认证远程代码执行 (RCE)** 漏洞,**仅影响开发模式**下的部署。

## 影响版本

- 受影响版本:`3.2.0` 到 `3.3.1`
- 不受影响版本:`3.3.2` 及以上
- 影响范围:仅限运行在**开发模式**下的实例,生产环境不受影响。

## 漏洞细节

在开发模式下,攻击者可在**未认证**的情况下利用该漏洞实现**远程代码执行**,从而可能完全控制受影响的应用。

## 影响

该漏洞允许攻击者在目标系统上**无需任何身份验证**执行任意代码,造成严重的安全风险。但仅限于开发模式部署的应用,**生产环境不受影响**。建议用户尽快升级至 `3.3.2` 或更高版本以修复漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kottster app reinitialization can be re-triggered allowing command injection in development mode
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Kottster is a self hosted Node.js admin panel. From versions 3.2.0 to before 3.3.2, Kottster contains a pre-authentication remote code execution (RCE) vulnerability when running in development mode. This affects development mode only, production deployments were never affected. This issue has been fixed in version 3.3.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Kottster 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Kottster是kottster开源的一个即时Node.js管理面板。安全、自托管且易于设置。 Kottster 3.2.0版本至3.3.2之前版本存在访问控制错误漏洞,该漏洞源于开发模式下存在预认证远程代码执行漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62713 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62713 的情报信息

  • 标题: App reinitialization can be re-triggered allowing command injection in development mode (dev-only, fixed in 3.3.2) · Advisory · kottster/kottster · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    App reinitialization can be re-triggered allowing command injection in development mode (dev-only, fixed in 3.3.2) · Advisory · kottster/kottster · GitHub

  • 标题: Add table views, replace roleIds with role names, add additional chec… · kottster/kottster@0a7d249 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Add table views, replace roleIds with role names, add additional chec… · kottster/kottster@0a7d249 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62713
四、漏洞 CVE-2025-62713 的评论

暂无评论

发表评论