从提供的网页截图中,可以获取到以下关于漏洞的关键信息: 漏洞名称和类型: - 漏洞名称: PhotoShow 3.0 Remote Code Execution via Exiftran Path Injection - 漏洞类型: Remote Code Execution (通过 Exiftran 路径注入) 严重程度: - 严重程度: High 日期: - 公布日期: December 22, 2025 影响范围: - 受影响软件: PhotoShow 3.0 CVE和CWE编号以及CVSS评分: - CVE/OSV/编号: CVE-2023-53981 - CWE: CWE-78 (Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')) - CVSS: 9.1 (CVSS:3.1/AV:N/AC:L/ PR:H/UI:N/SC:N/C:H/I:H/A:H) - CVSS3.0: 9.1 (CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) 相关参考资料: - ExploitDB编号: ExploitDB-51236 - 提交者/研究者披露 - 软件存储库链接 责任归属及描述: - Credit: LSCP Responsible Disclosure Lab - 漏洞描述: PhotoShow 3.0 中包含远程代码执行漏洞,允许经过身份验证的管理员通过 exiftran 路径配置注入恶意命令。攻击者可以利用ffmpeg配置设置,通过基础64编码反向shell命令并通过自定义视频上传过程执行。