关键信息 漏洞概述 CVE编号: CVE-2025-14188 漏洞类型: UGREEN NAS RCE 厂商: UGREEN (https://www.ugnas.com/) 受影响产品: DH2100+ NAS ≤ V5.3.0.251125 报告者: Jincheng Wang (@winmt, wjcwinmt@gmail.com) 漏洞描述 远程命令执行漏洞存在于UGREEN DH2100+ NAS设备中。此漏洞源于任意目录创建和命令注入漏洞的结合。攻击者可通过发送特制消息至 端点,利用 字段中的目录遍历创建一个 目录,并将恶意命令注入目录名或 名中,从而获得NAS设备的远程ROOT控制。 漏洞细节 在二进制文件 中,位于 函数对应 端点处, 字段被检索并存储在 中。 字段将附加到完整路径中。 若检测到 不存在,则调用 函数创建该目录。