发布日期：2026-02-09
更新日期：2026-04-09

受影响系统：

ZAI Shell ZAI Shell < 9.0.3

描述：

---

CVE(CAN) ID: CVE-2026-25807

ZAI Shell是一款自主运维代理程序，用于在复杂环境中进行系统导航、故障修复与安全防护。
ZAI Shell 9.0.3之前版本存在代码注入漏洞，该漏洞源于P2P终端共享功能在5757端口上打开TCP套接字但缺乏身份验证机制，远程攻击者可利用该漏洞通过简单的套接字脚本连接此端口，以--no-ai模式运行的ZAI-Shell P2P会话发送任意系统命令，如果主机用户未经检查命令内容就批准执行，该命令将以用户权限运行，从而绕过所有Sentinel安全检查。

<*链接：https://github.com/TaklaXBR/zai-shell/security/advisories/GHSA-6pjj-r955-34rr
*>

建议：

---

厂商补丁：

ZAI Shell
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/TaklaXBR/zai-shell/commit/a4ea8525d912f55d6e2f09b2869966c52d189a4a

浏览次数：46
严重程度：0（网友投票）