关键信息 漏洞名称: Invision Community <= 5.0.6 (customCss) Remote Code Execution Vulnerability 受影响版本: All versions from 5.0.0 to 5.0.6. 漏洞描述: - 漏洞位于 脚本中的 方法。 - 该方法可以被未认证的用户调用,并将 请求参数的值传递给 方法,导致输入被模板引擎处理。攻击者可以通过提供精心设计的模板字符串来注入和执行任意 PHP 代码。 概念验证: - https://karmainsecurity.com/pocs/CVE-2025-47916.php 解决方案: - 升级到版本 5.0.7 或更高版本。 披露时间线: - 2025年5月10日 - 厂商通知 - 2025年5月12日 - 发布版本 5.0.7 - 2025年5月12日 - 请求 CVE 标识符 - 2025年5月14日 - 分配 CVE 标识符 - 2025年5月14日 - 公开披露 CVE 参考: - CVE-2025-47916 发现者: - Egidio Romano 其他参考: - https://invisioncommunity.com/release-notes-v5/507-r41/