漏洞预警 | Rust命令注入漏洞

admin 2024年4月14日02:46:22评论12 views字数 543阅读1分48秒阅读模式
0x00 漏洞编号
  • CVE-2024-24576

0x01 危险等级
  • 高危
0x02 漏洞概述

Rust是一种通用、编译型编程语言,强调性能、类型安全和并发性,支持函数式、并发式、过程式以及面向对象的编程风格。

漏洞预警 | Rust命令注入漏洞

0x03 漏洞详情
CVE-2024-24576
漏洞类型:命令注入
影响:执行任意代码
简述:Rust标准库1.77.2版本之前存在命令注入漏洞,在Windows上使用Command API调用批处理文件(带有bat和cmd扩展名)时,Rust标准库没有正确转义批处理文件的参数,能够控制传递给生成进程的参数的攻击者可绕过转义执行任意shell命令。
0x04 影响版本
  • Rust(Windows) < 1.77.2

0x05 POC

https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/
仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本,建议用户升级到安全版本
https://www.rust-lang.org/

原文始发于微信公众号(浅安安全):漏洞预警 | Rust命令注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月14日02:46:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞预警 | Rust命令注入漏洞https://cn-sec.com/archives/2654405.html

发表评论

匿名网友 填写信息