CVE-2025-63706NPM包 next-npm-version 版本1.0.1中存在严重的命令注入漏洞。该漏洞源于应用程序未能正确过滤用户输入,导致攻击者可以在未经身份验证的情况下,通过特制的输入数据在系统上执行任意命令。由于CVSS评分高达9.8,该漏洞对系统机密性、完整性和可用性构成极高威胁,建议立即修复。
该漏洞位于 next-npm-version 库的核心功能模块中,具体涉及对外部命令的调用处理。在版本 1.0.1 中,组件在处理版本号或其他用户可控参数时,直接将其拼接到底层 Shell 命令(如 exec 函数)中,缺乏必要的安全过滤机制。攻击者可以通过网络向受影响接口发送特制的数据包,数据包中包含分隔符(如 ; 、| 、&&)以及恶意的系统命令。由于 CVSS 向量显示无需认证(PR:N)且无需用户交互(UI:N),攻击者可远程利用此漏洞。一旦命令被注入并执行,攻击者将获得运行该 NPM 包进程的操作系统用户权限,进而能够读取敏感文件、安装恶意软件、篡改数据或进行横向移动,对系统的机密性、完整性和可用性造成毁灭性打击。