一、 漏洞 CVE-2025-7404 基础信息
漏洞信息
# Calibre Web 0.6.24 与 Autocaliweb 0.7.0 盲注漏洞
## 概述
Calibre Web 和 Autocaliweb 存在一个 **OS 命令注入**(Improper Neutralization of Special Elements used in an OS Command)漏洞,攻击者可利用此漏洞在目标系统上执行任意命令。
## 影响版本
- **Calibre Web**:版本 0.6.24(代号 Nicolette)
- **Autocaliweb**:从版本 0.7.0 到 0.7.1 之前
## 漏洞细节
应用程序未正确过滤或转义用户输入中的特殊字符,导致攻击者可在构造恶意请求时注入操作系统命令。此漏洞为 **盲注型 OS 命令注入**,即使无法直接看到命令执行结果,攻击者仍可进行带外攻击或利用其他间接方式探测并执行操作。
## 影响
成功利用该漏洞的攻击者可在受影响的服务器上执行任意操作系统命令,进而可能导致:
- 数据泄露
- 服务中断
- 系统被完全控制
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-7404 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2025-7404 exploit. | https://github.com/mind2hex/CVE-2025-7404-CalibreWeb-0.6.24-BlindCommandInjection | POC详情 |
三、漏洞 CVE-2025-7404 的情报信息
-
标题: Calibre Web 0.6.24 - Blind Command Injection | Fluid Attacks -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
标题: GitHub - janeczku/calibre-web: :books: Web app for browsing, reading and downloading eBooks stored in a Calibre database -- 🔗来源链接
标签: product
神龙速读
-
标题: GitHub - gelbphoenix/autocaliweb: :books: Web managing platform for eBooks, eComics and PDFs -- 🔗来源链接
标签: product
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-7404
四、漏洞 CVE-2025-7404 的评论
暂无评论