Informazioni sul CVE-2025-27106
Code injection in binance-trading-bot
CWE ID: CWE-78
Base Score (CVSS): 7.7
CVE: CVE-2025-27106
Descrizione: Binance-trading-bot è un bot di trading automatizzato per Binance con strategia di acquisto/vendita trailing. Gli utenti autenticati di Binance-trading-bot possono raggiungere l’esecuzione remota del codice sul sistema host a causa di una vulnerabilità di iniezione di comandi nel punto di recupero `/restore`. Il punto di recupero `/restore` di Binance-trading-bot è vulnerabile all’iniezione di comandi tramite la vulnerabilità di iniezione di comandi nel punto di recupero `/restore`. Il nome del file caricato viene passato al shell.exec senza sanificazione di altri dati, risultando nell’esecuzione remota del codice in un contesto di host. Questo potrebbe consentire a qualsiasi utente autorizzato di eseguire codice in quel contesto. Questo problema è stato risolto in versione 0.0.100 e gli utenti sono invitati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/chrisleekr/binance-trading-bot/security/advisories/GHSA-wq6j-4388-4gg5
- https://github.com/chrisleekr/binance-trading-bot/commit/99d464cf8ef858d441189993054ec5f5f86e6213
- https://github.com/chrisleekr/binance-trading-bot/blob/dd8e1a91b872a48aec47bbe1280c1c6ea96784d9/app/frontend/webserver/handlers/restore-post.js#L14
Prodotti interessati
- chrisleekr – binance-trading-bot
Relazioni con altri prodotti
Produttore:chrisleekr
Prodotto: binance-trading-bot
Anno: 2025
CWE: CWE-78
CVSS: 7.7