0x00 漏洞编号

• CVE-2024-24576

0x01 危险等级

• 高危
  

0x02 漏洞概述

Rust是一种通用、编译型编程语言，强调性能、类型安全和并发性，支持函数式、并发式、过程式以及面向对象的编程风格。

0x03 漏洞详情

CVE-2024-24576

漏洞类型：命令注入

影响：执行任意代码

简述：Rust标准库1.77.2版本之前存在命令注入漏洞，在Windows上使用Command API调用批处理文件（带有bat和cmd扩展名）时，Rust标准库没有正确转义批处理文件的参数，能够控制传递给生成进程的参数的攻击者可绕过转义执行任意shell命令。

0x04 影响版本

• Rust（Windows） < 1.77.2

0x05 POC

https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.rust-lang.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Rust命令注入漏洞