据报道,尽管Rust以其安全性著称,然而,近期安全研究人员已揭露一名为CVE-2024-24576的漏洞。该漏洞源自Rust标准库中的一个安全缺失,给Windows系统带来了命令注入风险。
此漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击。
Rust安全响应小组随即发布安全通告指出,Windows环境下,当运行bat或cmd后缀的批次文件时,Rust标准库未能准确转义参数,从而让攻击者得以窃取并操控传递至生成程序的参数,进而绕过转义执行任意shell命令。鉴于所使用的不受信参数以及Windows环境,此漏洞被视为极度危险。
据悉,Rust团队当日已发布1.77.2版本标准库安全补丁,解决了Windows系统中的漏洞问题,同时声明其他平台及应用无受影响。
全部0条评论
快来发表一下你的评论吧 !