关键信息总结 漏洞概述 漏洞类型: Argument Injection in Bun's $ shell API 描述: 攻击者可以通过特定的注入攻击(argument injection)绕过Bun的输出编码逻辑,从而执行恶意命令。 示例用法 示例代码: 说明: 如果 包含shell元字符,如 ,则会导致命令注入。 漏洞概念验证 示例代码: 说明: 用户输入被解释为命令行参数,导致 命令成功执行,创建一个名为 的文件。 影响 影响: 忽略用户输入中的 可能导致命令行为改变。 分析 建议: Bun应实施进一步的安全控制,防止用户输入被解释为命令行参数。 环境 测试版本: Bun 1.1.38 CVE详情 受影响产品: bun <=1.1.39 CWE编号: CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')