关键信息 漏洞描述 CVE编号: CVE-2022-29256 漏洞类型: OS Command Injection in sharp 受影响版本: sharp prior to version 0.30.4 问题: 环境变量 被用于检查预构建依赖项版本,并在未进行任何验证的情况下直接与 命令方法一起使用,导致命令注入。 漏洞代码片段 发生位置 概念验证 影响 可能导致任意命令执行。 时间线 2022年5月20日: 请求正确的联系人披露。 2022年5月23日: 向代码所有者报告漏洞。 2022年5月23日: 报告被确认并修复漏洞。 2022年5月25日: 公开披露漏洞。 参考资料 GHSA-gp95-ppv5-3jc5 love11/sharp@a6aeef6