CalibreWeb 0624 Blind Command Injection Vulnerability

漏洞信息

漏洞名称： CalibreWeb 0.6.24 Blind Command Injection Vulnerability

漏洞编号：

• CVE： CVE-2025-7404

漏洞类型： 命令执行

漏洞等级： 高危

漏洞描述： CalibreWeb是一个基于Web的电子书管理工具，允许用户通过浏览器访问和管理他们的电子书库。它通常部署在个人服务器或家庭网络中，便于用户远程访问和管理电子书。由于其易用性和功能性，CalibreWeb在电子书爱好者中较为流行。该漏洞存在于CalibreWeb的0.6.24版本中，属于盲命令注入类型。攻击者可以通过构造特定的请求，在没有适当验证的情况下，将恶意命令注入到系统中执行。这种漏洞的根本原因在于应用程序对用户输入的处理不当，未能有效过滤或转义可能导致命令注入的特殊字符。利用此漏洞，攻击者可以在服务器上执行任意命令，可能导致数据泄露、服务中断或其他恶意活动。由于这是一个盲命令注入漏洞，攻击者可能无法直接看到命令执行的结果，但可以通过其他方式（如时间延迟）来推断命令是否成功执行。此漏洞的利用不需要用户认证，且可以远程触发，因此具有较高的危险性。

产品名称： CalibreWeb

影响版本： 0.6.24

来源： https://github.com/mind2hex/CVE-2025-7404-CalibreWeb-0.6.24-BlindCommandInjection

类型： CVE-2025:github search

仓库文件

• .gitignore
• LICENSE
• README.md
• exploit.py

来源概述

CVE-2025-7404-CalibreWeb-0.6.24-BlindCommandInjection

CVE-2025-7404 exploit.