关键信息 漏洞概述 受影响产品: RaspAP CVE编号: CVE-2025-50428 CVSS评分: 9.1 (严重) 漏洞类型: 认证后的OS命令注入 问题描述 在 接口中,当用户通过POST请求发送包含恶意参数的JSON数据时,可以触发命令注入。 恶意参数 和 未被正确验证和转义,导致攻击者可以通过构造特定的JSON数据执行任意命令。 漏洞代码示例 利用路径 攻击者可以通过向 接口发送包含恶意参数的POST请求来触发漏洞。 示例请求: CVSS评分 CVSS v3.1: 9.1 (严重) 解决方案/缓解措施 验证并转义输入参数,确保其不会包含恶意命令。 修改 和 文件中的相关代码,以防止命令注入。 披露时间线 2025-05-09: 发现漏洞 2025-06-12: 通知厂商 2025-07-14: 厂商确认并修复 2025-08-12: 公开披露