Romm可导致远程代码执行漏洞CVE-2025-54071

RomM是一款专为复古游戏爱好者设计的开源库管理器，能够高效整理、展示并运行多平台游戏资源，可扫描、丰富、浏览和玩游戏收藏。

RomM的核心功能包括自动化元数据整合、跨平台支持、内置浏览器模拟器及智能分类管理，通过Docker部署便捷，适合个人与社群使用。

​一、基本情况​

RomM通过连接IGDB和MobyGames两大游戏数据库，自动补充游戏封面、描述、发行年份等元数据，扫描本地游戏文件并生成结构化库。

​RomM中集成了EmulatorJS模拟器引擎，允许用户直接在网页端运行游戏，无需下载本地模拟器或配置复杂参数，点击游戏图标即可启动。

栋科技漏洞库关注到RomM（ROM管理器）受影响版本中存在一个认证任意文件写入漏洞，漏洞追踪为CVE-2025-54071，CVS评分9.4。

二、漏洞分析

CVE-2025-54071漏洞位于RomM（ROM管理器）4.0.0-beta.3及以下版本，这是一个认证任意文件写入漏洞，具体存在于/api/saves端点。

该漏洞允许进行任意文件写入操作，攻击者利用用户提供的内容在文件系统的任何位置创建或修改文件，可能导致系统上的远程代码执行。

而需要特别说说明的是，只有通过身份验证检查的用户具有查看者角色或Scope.ASSETS_WRITE权限或更高权限，才能够利用这一漏洞。

该漏洞允许攻击者用自己提供的任何内容在系统覆盖任何文件，或将新文件上传到任何位置，影响任何运行易受攻击的RomM版本的用户。

因此任何运行未打补丁版本的所有实例都易受到攻击，特别是在裸机上运行的实例（不使用Docker、LXC等） 、具有许多用户帐户的实例。

不过，在KIOSK_MODE下运行的实例不受影响，因为所有用户都设置为READ_ONLY，但强烈建议立即升级到最早的修补版本（4.0.0）。

如果用户此时不方便升级，那么作为一项临时措施，建议受影响用户将文件系统和卷装载设置为只读会阻止任何文件写入，直到执行升级。

三、影响范围

组件romm < 4.0.0-beta.4

四、修复建议

组件romm >= 4.0.0-beta.4

五、参考链接

管理员已设置登录后刷新可查看