关键信息 漏洞描述 概要: 由于对 GHSA-wj44-9vcq-wjq7 的修复不足,仍可通过 API 更新 目录中的文件,导致远程命令执行 (RCE)。 详细信息: 函数在某些条件下存在安全检查不足的问题。API 路由调用 时,可能不会匹配任何安全条件,但仍可通过 API 更新 文件。 影响版本 受影响版本: <= 0.13.3 修补版本: 0.13.4, 0.14.0+dev 漏洞详情 CVE ID: CVE-2025-64111 严重性: Critical 弱点: CWE-78 报告者: ROPShell 证明概念 (PoC) 添加符号链接文件并推送到仓库: 通过 API 更新文件: 影响 RCE: 可以实现远程代码执行。