关键信息 漏洞类型: 命令注入漏洞 (Command Injection Vulnerability) 受影响版本: < 0.1.2 修复版本: 0.1.2 严重性: 高 (High) CVE ID: CVE-2025-5831 CWE: CWE-77 报告者: Liran Tal 漏洞背景 npm 包存在命令注入漏洞,主要出现在其主要导出的 API 中。该 API 允许指定选项如 和 ,但未对用户输入进行清理或安全处理,导致未受控制的用户输入被拼接到命令执行中。 利用方法 1. 安装 或更早版本。 2. 初始化一个包含提交记录的 Git 目录。 3. 在该目录中创建以下脚本: 4. 观察磁盘上 文件的创建。 尽管命令执行功能正常工作,但由于命令执行的存在,使得问题更加隐蔽,可能不会立即意识到在运行的应用程序中发生了命令注入。