CVE-2025-63334CVE-2025-63334是PocketVJ CP v3.9.1版本中的一个严重安全漏洞,属于未认证远程代码执行(RCE)漏洞。该漏洞存在于submit_opacity.php组件中,攻击者可以通过构造恶意的opacityValue POST参数,在无需任何认证的情况下在目标系统上执行任意命令,且以root权限运行。这意味着攻击者可以完全控制受影响的服务器,执行系统命令、安装后门、窃取敏感数据或进行横向移动。由于CVSS评分高达9.8(满分10分),该漏洞被评定为严重级别,对使用该产品的组织构成极高风险。PocketVJ是一款用于视频映射和交互展示的控制系统软件,广泛应用于舞台表演、展览展示和广告投影等场景。一旦该漏洞被利用,可能导致商业机密泄露、系统瘫痪或被用于进一步攻击内网其他系统。
漏洞根源在于submit_opacity.php文件对用户提交的opacityValue参数缺乏有效的输入验证和过滤。该参数值直接被拼接到shell命令中执行,而PHP的system()、exec()或shell_exec()等函数会将字符串传递给系统shell解释器。攻击者可以利用管道符(|)、分号(;)、反引号(`)或$()等shell特殊字符注入额外命令。例如,opacityValue参数可以构造为'; whoami; #'来执行whoami命令。由于应用以root权限运行,注入的命令也将以root身份执行,从而获得系统的完全控制权。漏洞利用无需任何认证,攻击者只需构造HTTP POST请求即可触发。这种类型的漏洞被称为OS命令注入,是最危险的Web漏洞之一,因为它允许攻击者直接在服务器操作系统层面执行任意代码。