关键漏洞信息 漏洞概述 标题: Multiple issues involving quote API 发布者: comex 发布时间: 2024年1月22日 严重性: 高 影响版本与修复版本 受影响版本: < 1.2.1 修复版本: 1.3.0 描述 Rustsec ID: RUSTSEC-2024-0006 问题1: 引号字符引用失败 描述: 受影响的版本允许 和 字符在命令参数中未引用和未转义地出现。 风险: 如果 或 的输出传递给 shell,单个命令参数可能被解释为多个参数,导致意外后果,包括任意命令执行。 修复: 在版本 1.2.1 中通过转义额外字符修复。建议升级到 1.3.0。 变通方法: 检查 / 输入或输出中的 和 字符。 问题2: 对于空字节的危险API 描述: 版本 1.3.0 废弃了 和 API,改为使用 和 ,这些API在输入包含空字节时返回 。 风险: 包含空字节的字符串通常不能用作 Unix 命令参数或环境变量,大多数 shell 内部也无法处理空字节。 修复: 手动检查 / 输入或输出中的空字节。 问题3: 缺乏对交互式 shell 风险的文档 描述: 函数家族无法转义控制字符,在非交互式 shell 中是安全的,但在交互式 shell 中可能导致任意命令注入。 修复: 文档已添加,但本质上不可修复。