关键漏洞信息 漏洞类型: OS Command Injection (CVE-2025-50195) 影响的版本: <=1.11.28 修复版本: 1.11.30 描述: - 该应用程序对用户输入数据进行了不充分的验证,并将其传递给操作系统shell进行执行,允许攻击者在目标进程的上下文中执行任意的系统命令。 漏洞组件: /plugin/vchamilo/views/manage.controller.php 漏洞参数: POST main_database 利用条件: 需要具有管理员角色的授权用户 CVSS v4.0 Severity: 7.1/10 - Exploitability Metrics: - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: High - User Interaction: None - Vulnerable System Impact Metrics: - Confidentiality: Low - Integrity: High - Availability: High - Subsequent System Impact Metrics: - Confidentiality: None - Integrity: None - Availability: None 缓解措施: - 实施输入过滤白名单过滤; - 在客户端和服务器端进行安全检查; - 使用参数输入独立分隔传输数据和命令; - 依照特定编程语言版本、框架或库的官方文档中定义的安全指南,对应用程序进行源码分析,以识别、修护,并替换潜在的漏洞和过时的方法。