关键漏洞信息 漏洞编号 GHSL-2025-012 GHSL-2025-022 CVE-2025-43842 CVE-2025-43852 漏洞类型 命令注入(Command Injection) 代码注入(Code Injection) 反序列化未验证数据(Deserialization of Untrusted Data) 影响 这些漏洞可能导致任意命令执行和远程代码执行。 CWEs CWE-77: 不当的特殊元素中立化用于命令(Improper Neutralization of Special Elements used in a Command ('Command Injection')) CWE-94: 不当的代码生成控制(Improper Control of Generation of Code ('Code Injection')) CWE-502: 反序列化未验证数据(Deserialization of Untrusted Data) 漏洞细节 1. 命令注入在 函数中 - 变量 , , 和 被用户输入并传递给 函数,该函数将它们连接成一个在服务器上运行的命令。这可能导致任意命令执行。 2. 命令注入在 函数中 - 变量 被用户输入并传递给 函数,该函数打开并读取文件路径,并更改文件中的内容。这可能导致远程代码执行。 3. 反序列化未验证数据在多个函数中 - 多个函数如 , , , , 等使用了用户输入的路径来加载模型或处理文件,这些都可能导致反序列化未验证数据的问题,从而导致远程代码执行。 披露时间线 2025-05-20: 创建问题#16请求贡献者寻求安全合同。 2025-07-25: 收到其中一个贡献者的回复,确认存储库不是完全活跃的。 2025-07-26: 再次尝试联系,以启用GitHub上的私人漏洞报告功能。 2025-04-23: GitHub Security Lab根据90天披露政策分配CVE。 ``` 这些信息总结了从网页截图中获取的关键漏洞信息,包括漏洞编号、类型、影响、CWE分类以及详细的漏洞细节和披露时间线。