CVE-2025-14204CVE-2025-14204是TykoDev cherry-studio-TykoFork 0.1版本中的一个高危安全漏洞,存在于OAuth Server Discovery组件中。该漏洞位于/.well-known/oauth-authorization-server端点的redirectToAuthorization函数,攻击者可通过manipulation操控authorizationUrl参数实现操作系统命令注入。由于该漏洞可远程利用且只需要低权限认证,无需用户交互即可发起攻击,因此具有较高的实际威胁性。攻击者成功利用此漏洞可在受影响的服务器上执行任意操作系统命令,可能导致数据泄露、系统完全沦陷、横向移动等严重后果。CVSS 3.1评分6.3(中等严重程度)反映了该漏洞在机密性、完整性和可用性方面均造成较低影响的特点。该漏洞已于2025年12月7日公开披露, exploits已在互联网公开可用,建议受影响用户立即采取修复措施。
该漏洞根源于cherry-studio-TykoFork应用对OAuth Server Discovery端点的实现缺陷。具体来说,/.well-known/oauth-authorization-server路由的redirectToAuthorization函数在处理authorizationUrl参数时未进行充分的安全校验和输入过滤。攻击者可构造恶意构造的authorizationUrl参数,注入操作系统命令。由于该参数直接参与系统命令执行而未经过shell命令转义处理,攻击者可通过分号、管道符、&&、||等shell特殊字符注入额外命令。攻击场景如下:攻击者首先访问OAuth发现端点,通过修改authorizationUrl参数值为包含命令注入payload的字符串(如;whoami或|ls等),服务器在处理该请求时会将注入的命令作为操作系统命令执行。由于OAuth授权流程通常需要认证,攻击者可能需要低权限账户(如普通用户账户)即可触发该漏洞。成功利用后,攻击者可在服务器上下文环境中执行任意命令,获取敏感信息、部署后门或进一步渗透内网。